ISO/IEC 27001

ISO 27001 Eis 4.2 – Belanghebbende partijen

Bekijk hoe u ISO 27001 sneller kunt behalen met ISMS.online

Bekijk het in actie
Door Mark Sharron | Bijgewerkt op 14 december 2023

Artikel 4.2. van de vereisten voor ISO 27001 gaat over 'Het begrijpen van de behoeften en verwachtingen van de belanghebbenden van uw organisatie' en is een heel belangrijk onderdeel van ISO 27001. Net zoals ISO-clausule 4.1 over interne en externe kwesties, krijgt u niet veel begeleiding rond geïnteresseerde partijen, dus laten we dat aanpakken en een steviger fundament leggen waarop we het managementsysteem voor informatiebeveiliging kunnen bouwen.

Ga naar onderwerp


Wat is een geïnteresseerde partij?

In zijn eenvoudigste vorm is een geïnteresseerde partij een stakeholder: iemand, een groep of een entiteit met een belang in uw ISMS (of misschien de organisatie zelf).

U zou veel van uw geïnteresseerde partijen gemakkelijk moeten kunnen identificeren nadat u de interne en externe kwesties hebt afgehandeld die van invloed zijn op de beoogde resultaten van het informatiebeveiligingsbeheersysteem.

Hiertoe behoren onder meer personeel, leveranciers, klanten, aandeelhouders, directeuren, prospects, bestuursleden, concurrenten, wet- en regelgevers, vakbonden enz.

Geïnteresseerde partijen zijn ook niet altijd de voor de hand liggende partijen. Hackers en aanverwante kwaadwillende partijen moeten bijvoorbeeld in overweging worden genomen, net als de media en anderen, afhankelijk van de aard van uw bedrijf en de problemen waarmee zij worden geconfronteerd.

Maar in plaats van een reeks van one size fits all beleid en controles te creëren voor al uw geïnteresseerde partijen, is het beter om naar die geïnteresseerde partijen te kijken in termen van hun macht, interesse en steun – in eenvoudige bewoordingen gaat dit over hun vermogen om uw belangen te beïnvloeden. benadering van het ISMS.

Vervolgens kun je geschikte benaderingen ontwikkelen om aan te tonen dat je in hun behoeften voorziet (en natuurlijk ook die van jou, waar het een mogelijke saboteur is!)

Als u bijvoorbeeld een klant zou hebben die van u eist dat u investeert in ISO 27001 en een onafhankelijk gecertificeerd ISO 27001 ISMS bouwt, zou u dat dan doen als deze een zeer kleine, niet-invloedrijke speler was? Je zou waarschijnlijk nog een keer nadenken als die klant een van de vele was die je wilde winnen, of een grote, krachtige speler op zichzelf.

Zou u aan encryptie denken als dit geen regelgevingsvereiste voor de AVG zou zijn? Wetgevers en toezichthouders (toezichthoudende autoriteiten) zijn een krachtige 'blijf tevreden' stakeholder waarmee u rekening moet houden en moet laten zien dat u hun belangen behartigt!

Tool voor stakeholdermanagement

Bij ISMS.online hebben we een tool voor belanghebbenden van geïnteresseerde partijen gebouwd waarmee gebruikers snel belanghebbenden kunnen toevoegen en segmenteren en vervolgens de aanpak om hen heen kunnen prioriteren.

De tool wordt bovendien geleverd met een 'bank' van geïnteresseerden die snel aan de kaart kunnen worden toegevoegd. Ze zullen ook ideeën aandragen voor andere belanghebbenden en helpen identificeren waar de risico's vandaan kunnen komen.

Ontdek het zelf door vandaag nog een platformdemo te boeken.

Boek een platformdemo

Wie zijn de geïnteresseerde partijen die tevreden moeten blijven?

Als een stakeholder veel macht heeft en weinig belangen, moet u dat individu of die groep beschouwen als een 'blijf tevreden' stakeholder. Vraag uzelf af: wat gaat u in uw ISMS doen met beleid en controles om ervoor te zorgen dat ze tevreden blijven?

In dit gebied met veel macht en weinig belangstelling zie je misschien organisaties als wetgevers en regelgevers, zeer machtige klantengroepen, aandeelhouders enz. Er kunnen ook externe auditors en andere brancheorganisaties zijn die van invloed kunnen zijn op het succes van je bedrijf.

Hun interesse is van dag tot dag vrij laag, maar hun macht om uw zakelijke doelstellingen te beïnvloeden is groot, dus ze moeten tevreden gehouden worden – meestal op afstand, en het hebben van een onafhankelijk gecertificeerd ISO 27001-certificaat kan enigszins in hun behoeften voorzien.

De zeer machtige partijen die geïnteresseerd zijn in informatieborging, zoals toezichthouders, kunnen ook specifieke manieren van werken voorschrijven; de AVG en de Wet bescherming persoonsgegevens zijn zeer actuele voorbeelden.


Rekening houden met de behoeften van andere geïnteresseerde partijen voor een succesvol ISO 27001 ISMS

Als een belanghebbende zowel een groot belang als veel macht heeft, noemen we hem of haar een sleutelspeler. Deze belanghebbenden moeten actief betrokken worden. Uw senior managementteam, belangrijke afdelingshoofden, belangrijke leveranciers enz. vallen waarschijnlijk in deze categorie. Het kan zijn dat u enkele van uw nauw betrokken, belangrijke klanten in deze categorie heeft. Ze zijn wellicht erg geïnteresseerd in de manier waarop u dagelijks werkt, omdat dit ook op hen van invloed is.

Het is gemakkelijk om lange lijsten te maken van belanghebbenden waarmee u rekening moet houden, maar pas op dat u niet te veel tijd besteedt aan degenen met minder macht. Degenen met minder macht en meer interesse moeten op de hoogte blijven, maar hoeven misschien niet te worden geraadpleegd over wat uw ISMS dekt. ​​Misschien moet u het ze gewoon vertellen, anders zouden ze een grote zuiging kunnen zijn op uw tijd- en investeringsbudget!

Wees ook voorzichtig met het eenvoudigweg dumpen van belanghebbenden die u niet bevallen in de lagere machtsklassen – we hebben dit bij één bedrijf zien gebeuren. Ze betaalden er later voor omdat de stakeholder eigenlijk behoorlijk machtig was en vertraagde het bereiken van hun doelen omdat hun vereisten geen prioriteit kregen.

Door dit werk van belanghebbenden en belanghebbenden te combineren met de interne en externe kwesties die u in 4.1 hebt geïdentificeerd, kunt u een beter begrip krijgen van waar bedreigingen en kansen vandaan kunnen komen in uw managementsysteem voor informatiebeveiliging.

Dat, in combinatie met de reikwijdte van uw ISMS (4.3), leidt tot een veel logischere en bedrijfsgeleide benadering van de risicobeoordeling in 6.1 en een veel grotere informatieborging met beleid en controles die uw personeel en belanghebbenden zullen waarderen en omarmen.

In ISMS.online bieden we een sjabloon en de tool met een 'bank van belanghebbenden' waarmee u eenvoudig kunt voldoen aan de eisen van ISO 27001 artikel 4.2. Het optionele Virtual Coach-programma wordt ook geleverd met videocoaching over hoe u aan de vereisten kunt voldoen.

Wij begeleiden u bij elke stap

Onze ingebouwde tool begeleidt u van installatie tot certificering met een succespercentage van 100%.

Boek een demo

ISO 27001:2022-vereisten


ISO 27001:2022 Bijlage A Controles

Organisatorische controles


Mensencontroles


Fysieke controles


Technologische controles


Over ISO 27001


Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu