Hoppa till ämnet
Vad innebär paragraf 5.3?
ISO 27001 söker helt enkelt efter tydlighet och fokus på nyckeldelarna i ISMS – vem som är ansvarig övergripande, vem som är ansvarig för vissa delar, alla goda och logiska affärsmetoder. Du måste visa att vissa roller (inte nödvändigtvis personer) finns, har utsetts av högsta ledningen och att de kommuniceras till relevanta intressenter och dokumenteras tydligt så att det inte finns några oklarheter. Kravet här är ganska hög nivå och det är lätt att dokumentera, och passar även med andra delar av informationssäkerhetshanteringssystemet t.ex. säkerhetsriskägare i 6.1, info sec objektiva ägare i 6.2 etc.
Hur ISMS.online hjälper dig
ISMS.online gör också mycket av ISMS ägande och engagemang enkelt i praktiken med dess samarbetande teammedlemskap, policyaktivitetsägare, risk-, incident-, förbättringsägare etc – som alla kan flöda ner från den högsta ledningens klarhet som kommer från denna klausul 5.3.
Boka en plattformsdemo för att se den i aktion.
Boka en plattformsdemoSå en individ kan göra mer än en roll och du kan förena arbetet, t.ex. genom att ha en styrelse som övervakar allt för att hjälpa till att demonstrera ledningsgranskningar i linje med 9.3 och helt förena ledningssystemet för informationssäkerhet. Gör det bara klart vem som är ansvarig för vad. Tänk på rollerna med intressenter i åtanke samt praktisk leverans. Till exempel kan rollen som CISO (Chief Information Security Officer) innebära för dina kunder att du tar informationssäkerhet på allvar och att det kan göras av en ledande befattningshavare vid sidan av deras dagliga jobb, eller om det i en större organisation kan vara en full -tidsroll i sin egen rätt.
Du kan också välja att ha en TISO (Technical Information Security Officer), eller motsvarande, som skulle vara mer teknisk och kunna fokusera på dessa aspekter av ISMS om de andra rollerna levereras av mer kommersiella/strategiska individer. Se bilaga A 6.1.1 (om organisationen av informationssäkerhet) och se till att du anpassar detta krav till den bilaga A-kontrollen.
ISO 27001 söker specifikt efter tydlighet i roller och ansvar för:
- Se till att ledningssystemet för informationssäkerhet överensstämmer med kraven från International Organization for Standardization
- Rapportering av prestanda för ISMS (vilket är mycket enklare när allt finns på ett ställe)
Det kan mycket väl vara så att en ledande befattningshavare har ansvaret för ISMS som en del av ledarskapets engagemang för informationssäkerhet (5.1) men kan naturligtvis delegera driften av det till andra i organisationen, eller lägga ut till specialistparter som den virtuella CISO, som många av ISMS.online-partnerna erbjuder tjänster kring. Kom bara ihåg att dokumentera det!
Gör det enklare med ISMS.online
ISMS.online-plattformen gör det enkelt för högsta ledningen att upprätta en informationssäkerhetspolicy som är förenlig med organisationens syfte och sammanhang.
Ditt ISMS kommer att innehålla en förbyggd informationssäkerhetspolicy som enkelt kan anpassas till din organisation. Denna policy fungerar som ett ramverk för översyn av mål och inkluderar åtaganden att uppfylla alla tillämpliga krav och kontinuerligt förbättra ledningssystemet. Denna policy kan enkelt delas med berörda parter och lämnas in för anbud eller annan extern kommunikation.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
