Nedan hittar du kärnkraven i ISO 27001:2013. Om du letar efter den uppdaterade
ISO 27001:2022 kärnkrav, vänligen klicka på knappen nedan.
Vad innebär paragraf 5.3?
ISO 27001 söker helt enkelt efter tydlighet och fokus på nyckeldelarna i ISMS – vem som är ansvarig övergripande, vem som är ansvarig för vissa delar, alla goda och logiska affärsmetoder. Du måste visa att vissa roller (inte nödvändigtvis personer) finns, har utsetts av högsta ledningen och att de kommuniceras till relevanta intressenter och dokumenteras tydligt så att det inte finns några oklarheter. Kravet här är ganska hög nivå och det är lätt att dokumentera, och passar även med andra delar av informationssäkerhetshanteringssystemet t.ex. säkerhetsriskägare i 6.1, info sec objektiva ägare i 6.2 etc.
Så en individ kan göra mer än en roll och du kan förena arbetet, t.ex. genom att ha en styrelse som övervakar allt för att hjälpa till att demonstrera ledningsgranskningar i linje med 9.3 och helt förena ledningssystemet för informationssäkerhet. Gör det bara klart vem som är ansvarig för vad. Tänk på rollerna med intressenter i åtanke samt praktisk leverans. Till exempel kan rollen som CISO (Chief Information Security Officer) innebära för dina kunder att du tar informationssäkerhet på allvar och att det kan göras av en ledande befattningshavare vid sidan av deras dagliga jobb, eller om det i en större organisation kan vara en full -tidsroll i sin egen rätt.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Du kan också välja att ha en TISO (Technical Information Security Officer), eller motsvarande, som skulle vara mer teknisk och kunna fokusera på dessa aspekter av ISMS om de andra rollerna levereras av mer kommersiella/strategiska individer. Se bilaga A 6.1.1 (om organisationen av informationssäkerhet) och se till att du anpassar detta krav till den bilaga A-kontrollen.
ISO 27001 söker specifikt efter tydlighet i roller och ansvar för:
- Se till att ledningssystemet för informationssäkerhet överensstämmer med kraven från International Organization for Standardization
- Rapportering av prestanda för ISMS (vilket är mycket enklare när allt finns på ett ställe)
Det kan mycket väl vara så att en högre chef har ansvaret för ISMS som en del av ledningens engagemang för informationssäkerhet (5.1), men kan naturligtvis delegera driften till andra i organisationen, eller outsourca till specialistgrupper som den virtuella CISO:n, som många av ISMS.online-partnerna erbjuder tjänster kring. Kom bara ihåg att dokumentera det!
Gör det enklare med ISMS.online
ISMS.online-plattformen gör det enkelt för högsta ledningen att upprätta en informationssäkerhetspolicy som är förenlig med organisationens syfte och sammanhang.
Ditt ISMS kommer att innehålla en förbyggd informationssäkerhetspolicy som enkelt kan anpassas till din organisation. Denna policy fungerar som ett ramverk för översyn av mål och inkluderar åtaganden att uppfylla alla tillämpliga krav och kontinuerligt förbättra ledningssystemet. Denna policy kan enkelt delas med berörda parter och lämnas in för anbud eller annan extern kommunikation.
