ISO 27001 Eis 7.2 – Competentie

Wat houdt artikel 7.2 in?

ISO IEC 27001 voor clausule 7.2 zegt in principe dat de organisatie ervoor zal zorgen dat zij:

• bepaalde de competentie van de mensen die het werk aan het ISMS deden, wat de prestaties ervan zou kunnen beïnvloeden
• mensen die op grond van de relevante opleiding, training of ervaring competent worden geacht
• waar nodig actie ondernemen om de noodzakelijke competentie te verwerven en de effectiviteit van de acties evalueren
• bewijsmateriaal van het bovenstaande bewaard voor auditdoeleinden

Op basis van deze vereisten is het gemakkelijk om te denken dat het antwoord op 7.2 het inhuren van een informatiebeveiligingsexpert zou kunnen zijn – maar dat is niet altijd nodig!

Er is een hele reeks vaardigheden en ervaringen vereist voor een succesvolle implementatie en doorlopend beheer van een ISMS dat is gecertificeerd volgens ISO 27001, naast expertise op het gebied van fysieke beveiliging, cyberbeveiliging, computerbeveiliging of andere vormen van informatiebeveiliging op zich.

Deze omvatten: commercieel, juridisch, HR, IT, evenals de relevante producten- en dienstenexpertise voor het werk in scope.

Het bouwen en runnen van een ISMS is meestal een teamtaak waarin wordt samengewerkt. Het allerbelangrijkste is een goed begrip van de organisatie, haar doel en doelstellingen, haar cultuur, risicobereidheid en de vereisten uitgedrukt in de paragrafen 4.1, 4.2, 4.3, 6.1, 6.2.

Het aantonen van naleving van artikel 7.2

Naast de 7.3-bewustzijns- en 7.4-communicatieclausules kan 7.2 worden gedemonstreerd met een algemene verklaring over het betrokken team en hun geloofwaardigheid, met links binnen het ISMS om hun werk als bewijs te demonstreren om tijd te besparen (als u een samengevoegd platform zoals ISMS.online).

Bovendien is een eenvoudige tabel waarin de betrokken mensen worden weergegeven, de rol die zij vervullen, met aantekeningen naast hun relevante ervaring, opleiding of opleiding, nuttig en sommige auditors zien dat detail graag. Het hoeft geen CV te zijn, laat gewoon zien waarom ze betrokken zijn:
Bijvoorbeeld Fred Bloggs – implementatieleider met een dagelijkse taak als service delivery- en IT-manager. Heeft 5 jaar ervaring op beide gebieden en relevante training of opleiding, heeft bijvoorbeeld online cursussen over cyberbeveiliging gevolgd en een master in computerwetenschappen gevolgd.

Dit kan heel eenvoudig worden gehouden, het is geen analyse van de behoeften op het gebied van informatiebeveiligingstraining of een gedetailleerd actieplan (hoewel u er misschien ook wel één wilt, afhankelijk van de organisatiestijl en de benadering van HR-ontwikkelingsplannen).

Het enige wat de externe auditor wil weten is dat het betrokken team competent is en dat het waarschijnlijk is dat een deel van of het hele team toch bij het auditproces betrokken zal zijn, op welk punt de auditor toch zijn eigen mening zal vormen.

Houd er rekening mee dat informatiebeveiliging die wordt uitgevoerd met een bedrijfsgeleide aanpak gaat over het beter runnen van het bedrijf, en niet alleen maar het implementeren van 114-controles omwille van dat doel. Daarom is het onwaarschijnlijk dat er hiaten zullen ontstaan ​​in de kernvaardigheden en het inzicht van uw organisatie, anders is het onwaarschijnlijk dat deze zal functioneren!

Als er echter hiaten zijn in de competentie, vaardigheden en ervaringen rond het implementeren en beheren van een managementsysteem voor informatiebeveiliging om aan deze clausule te voldoen, kunnen deze op een aantal manieren worden gedicht:

• Het sturen van het betrokken personeel naar ISO 27001 lead auditor, lead implementer en implementatietrainingen, of een van de vele andere informatiebeveiligingscursussen die er zijn. Dit kan echter duur worden voor één persoon, laat staan ​​voor een team, zowel qua kosten als qua tijd buiten kantoor. Het kan op zichzelf tot implementatieproblemen leiden als de trainer of het programma te algemeen of ouderwets is of de organisatiecultuur, de manier van werken, enz. niet begrijpt.
• Het doorlezen van veel van de gratis bronnen op internet, zoals de bronnen van deze website, sites zoals het Nationaal Cyber ​​Security Centrum (NCSC) met zijn gespecialiseerde handleidingen en checklists, en het verwerken van de ISO 27001- en ISO 27002-normen zal de auditor een niveau van kennis laten zien. competentie ook. Dat sluit aan bij bijlage A 6.1.4 voor het op de hoogte blijven van en betrokken zijn bij gespecialiseerde informatiebeveiligingsfora en beroepsverenigingen.
• Huur gespecialiseerde fysieke middelen in om competentie op te bouwen – er is een groeiende markt voor virtuele CISO (Chief Information Security Officers) en teams om hen heen. Dit kan zeker zinvol zijn en we raden het aan voor gericht werk samen met de interne medewerkers die gespecialiseerd zijn in hun vakgebied, wanneer de organisatie capaciteits- en capaciteitsproblemen heeft en het budget minder een probleem is. Veel van de ISMS.online-partners bieden een dergelijke service aan en we stellen u graag een partner voor die kan helpen deze hiaten te dichten en nog meer waarde toe te voegen bovenop ISMS.online.
• Gebruik de Virtual Coach-service binnen ISMS.online om de competentie van het implementatieteam op te bouwen en te laten groeien en de auditor te laten zien dat elk lid van het team enige coaching/mentoring op het gebied van informatiebeveiliging heeft ondergaan en is getraind in het voorbereidingsplan, zodat ze het vanaf de grond weten wat een managementsysteem voor informatiebeveiliging is, waarom het nodig is en wat hun taak binnen het team is. Ze kunnen ook demonstreren dat ze vol vertrouwen en consistent werken op een niveau dat volgt uit de handleidingen, tips en video's van de Virtual Coach in elk van de vereisten en controlegebieden in bijlage A.

Word tot 5x sneller gecertificeerd met ISMS.online

Compliance hoeft niet ingewikkeld te zijn – ISMS.online is ontworpen om u te helpen de ISO 27001-certificering snel en betaalbaar te behalen zonder dat er training nodig is.
We hebben het ISO 27001-proces gestroomlijnd met onze Assured Results-methode, een voorsprong van 80%, uw eigen 24/7 virtuele coach, eenvoudige onboarding en deskundige ondersteuning.

Boek een platformdemo om te zien hoe ISMS.online uw bedrijf kan helpen