Hur du genomför din ISO 27001 Management Review
Innehållsförteckning:
- 1) Vad är syftet med ISO 27001:2013 Management Review?
- 2) Vad ska ingå i ledningsöversikten?
- 3) Vem ska närvara vid ledningsöversynen?
- 4) Frekvens för ledningens granskning
- 5) Hur man hanterar kommunikation och handlingar
- 6) « Hur man skriver en internrevisionsrapport för ISO 27001
- 7) De bästa tipsen för din första ISO 27001 Steg 2-revision »
Vad är syftet med ISO 27001:2013 Management Review?
Värdet av informationssäkerhetshanteringssystemet (ISMS) Management Review är ofta underskattat.
Vissa kanske ser det som ett kryssningskrav som måste ske rent för att uppfylla ISO 27001 krav 9.3. Men för att verkligen "leva och andas" bra informationssäkerhetspraxis är dess roll ovärderlig.
Syftet med ledningsöversynen är att säkerställa att ISMS och dess mål fortsätter att förbli lämpliga, adekvata och effektiva med tanke på organisationens syfte, frågor och risker. Dessa kommer tidigare att ha behandlats inom 4.1 Organisationen och dess sammanhang, 4.2 Kraven för berörda parter, och 6.1.Riskhantering.
Resultaten av ledningsgranskning kommer att göra det möjligt för högsta ledningen att göra sig välinformerade, strategiska beslut som kommer att ha en väsentlig effekt på informationssäkerheten och hur organisationen hanterar den.
Vad ska ingå i ledningsöversikten?
Ledningsgranskningen ska följa a standard format som tittar på förväntningarna på ISO 27001: 2103.
Det kan också vara så att organisationen önskar ta med andra efterlevnadsregimer i granskningen, som t.ex Cyber Essentials, ISO 9001 och andra goda rutiner för att underlätta effektiva granskningar och välgrundat beslutsfattande.
ISO 27001-ledningens granskning bör inkludera övervägande av:
a) status för åtgärder från tidigare ledningsgranskningar;
b) förändringar i externa och interna frågor som är relevanta för informationssäkerhetshantering systemet;
c) feedback om informationssäkerhetsprestanda, inklusive trender inom:
- avvikelser och korrigerande handlingar;
- övervakning och mätning resultat;
- revision resultat; och
- uppfyllelse av informationssäkerhetsmål.
d) feedback från berörda parter;
e) resultat av risk_assessment">riskbedömning och status för riskbehandling planen; och
f) möjligheter till fortsatt förbättring.
Du kanske också vill lägga till en ytterligare punkt g) Kom överens om revisionsfokus för kommande period. Detta är valfritt om du är agil organisation och kan inte helt specificera hela revisionsprogrammet och planera för långt i förväg. Men kom ihåg att vissa externa revisorer vill ha mer klarhet över hela programmet under certifieringscykeln!
Resultaten av ledningens granskning bör omfatta beslut relaterade till fortsatt förbättring möjligheter och eventuella behov av förändringar i ledningssystemet för informationssäkerhet.
Vem ska närvara vid ledningsöversynen?
Med hänsyn till ovanstående är det tydligt att, med vederbörlig hänsyn, ISO 27001 ledningsöversyn är en oumbärlig verktyg för att säkerställa att ISMS fortsätter att vara effektivt i ett av dess huvudmål, det att mildra informationssäkerhetsrisker.
För att ISMS ska vara effektivt i en organisation krävs senior ledarskapsinitiativ och som sådan är det vettigt att medlemmarna i en ISMS "styrelse" har befogenheter i frågor som rör informationssäkerhet.
En ISMS-styrelse kan vanligtvis inkludera Chief Information Security Officer (CISO), Senior Information Risk Owner (SIRO), Chief Technical Officer och kanske till och med VD.
Resultaten av ledningens granskning kommer att omfatta beslut relaterade till fortsatt förbättring möjligheter och eventuella behov av förändringar i ledningssystemet för informationssäkerhet.
Frekvens för ledningens granskning
Det finns ett minimikrav för att genomföra en ledningsöversyn en gång om året och oftare om det sker några väsentliga förändringar som kan påverka informationssäkerheten och ISMS.
Frekvensen kommer dock att definieras av ledningens krav på att övervaka framgången för ISMS. Det finns också en fara att ju större intervall det är, desto större arbete kommer det att läggas på med att granska föregående period. Det ökar också risken för att fel i ISMS inte identifieras snabbt.
Av den anledningen rekommenderar vi månadsvis, varannan månad eller till och med kvartalsvis om ditt ISMS är ganska stabilt. Säkert, ledningsgenomgångar ska ske vid planerad intervaller för att säkerställa att ISMS förblir "lämpligt, adekvat och effektivt".
För de som söker ISO 27001-certifiering av deras ISMS är det också viktigt att notera att det finns ett krav på att bevisa, under steg 1 skrivbordsrevisionen, att de regelbundna granskningarna äger rum.
At ISMS.online vi föreslår veckovisa ledningsgenomgångar före steg 1-revision eftersom detta kommer att hålla ditt implementeringsprojekt på rätt spår, bygga upp vanan och inom en månad har du byggt upp tillräckligt med bevis, med hjälp av det enkla Management Review-program i plattformen, för att tillfredsställa revisorn.
Hur man hanterar kommunikation och handlingar
Vanligtvis kommer en ledningsgranskning att innebära att mötesinbjudningarna, dagordningen, bevisen och rapporterna skickas ut via e-post i förväg för granskning eller för att stödja granskningen, och de tidigare punkter som krävde åtgärder.
Vid granskningen kan anteckningar göras av fynden för efterföljande uppskrivning och distribution.
Områden som identifierats för korrigerande åtgärder och förbättringar kommer också att behöva dokumenteras och delas ut till de personer som kommer att ansvara för att dessa åtgärder genomförs.
Vid varje steg måste bevis finnas kvar för att försäkra en extern revisor om att granskningen och processerna äger rum och är effektiva.
Det är mycket mejl, mycket planering och mycket bevis!
Föreställ dig en online ledningens granskningsprogram som gjorde det enkelt att ställa in ditt ISMS Board-team, enkelt att schemalägga granskningar och följa en standardagenda, enkelt att länka till tidigare recensioner, och all information som behövs, och enkelt att tilldela och spåra korrigerande åtgärder och förbättringar?
Du inbillar dig ISMS.online som gör det enkelt att hantera ditt kompletta ISMS.
Samla allt i en säker onlinemiljö där du kan samarbeta med kollegor, fånga de nödvändiga bevisen bara en gång och enkelt navigera till det före, under och efter granskningen.
Du behöver inte ens alla styrelseledamöter vara samlade på ett ställe ... genomför det online och spara tid och kostnader för resor!
Inkludera vår Virtuell coach Program för expertvägledning och pragmatisk rådgivning i var och en av de nödvändiga aktiviteterna
