ISO 27001 Eis 7.4 – Communicatie

Wat houdt artikel 7.4 in?

Net als bij andere delen van het ISMS zijn er mogelijkheden om samen te werken en het managementsysteem voor informatiebeveiliging te demonstreren, met name de communicatievereisten ervan vormen een samenhangend geïntegreerd onderdeel van de communicatie-, onderwijs-, training- en bewustmakingsprocessen van de organisatie.

Deze clausule 7.4 sluit ook aan bij bijlage A 7 voor de beveiliging van personeelszaken, waar de vereisten rond communicatie beginnen met de HR-veiligheidsscreening, ingaan op de informatiebeveiligingsvoorwaarden voor arbeidsovereenkomsten, disciplinaire processen en na functiewisselingen of vertrek. De belangrijkste integratie voor HR-beveiliging vindt plaats met A 7.2.2, waar er controle is op het bewustzijn van informatiebeveiliging, opleiding en training.

ISO 27001 zoekt in deze clausule naar de volgende zaken:

• wat te communiceren over het ISMS
• wanneer dat wordt gecommuniceerd
• wie partij zal zijn bij die communicatie
• wie doet de communicatie
• hoe dat allemaal gebeurt, dwz welke systemen en processen zullen worden gebruikt om aan te tonen dat het gebeurt en effectief is

Specifiek vereist de beheersing van ISO 27001: 2013 A.7.2.2 dat: “Alle werknemers van de organisatie en, waar relevant, contractanten zullen passende bewustmakingseducatie en -training krijgen en regelmatige updates over het beleid en de procedures van de organisatie, voor zover relevant voor hun functie.”

Deze controle, gecombineerd met de vereiste in clausule 7.4 van de belangrijkste eisen van ISO 27001 om aan te tonen ‘hoe’ en hoe effectief communicatie is, samen met de noodzaak voor het senior management om hun organisatie daadwerkelijk te beschermen en niet alleen maar een vakje aan te vinken, betekent dat dynamisch en zelfverzekerd communicatie voor vertrouwen in de naleving is vereist.

In welke communicatie moet rekening worden gehouden, waarin zij waarschijnlijk geïnteresseerd zijn?

Het uitgangspunt hiervoor zou het werk moeten zijn dat is gedaan in 4.2, waarbij we naar de geïnteresseerde partijen kijken en terugkijken om hun behoeften en eisen aan communicatie te begrijpen, wat uiteraard zou aansluiten bij hun positie op de stakeholderkaart en de onderliggende kwesties en zorgen die zij zouden hebben. hebben over zijn prestaties. Net als voorheen zal niet één maat voor iedereen geschikt zijn als het gaat om wat, waarom en hoe de communicatie plaatsvindt. Een ‘blijf tevreden’ geïnteresseerde partij zoals de Britse Information Commissioner voor het aantonen van naleving van de Data Protection Act en de AVG zal bijvoorbeeld slechts twee dingen willen weten: a) bent u geregistreerd als gegevensbeheerder en/of verwerker; en b) wanneer u een beveiligingsincident heeft meegemaakt dat verliezen of potentiële gevolgen met zich meebrengt, binnen hun interessegebied valt.

Andere tevreden belanghebbenden zullen waarschijnlijk machtige klanten zijn, en ook externe auditors voor ISO 27001, vooral als onafhankelijke UKAS of soortgelijke certificering wordt overwogen. Ze willen erop kunnen vertrouwen dat het ISMS goed presteert en de regelmatige informatiezekerheid krijgen die voortkomt uit surveillance-audits en misschien het recht om audits uit te voeren op tijdstippen die zij zelf kiezen, en op de hoogte worden gehouden van materiële veranderingen of incidenten.

Belangrijke spelers en belanghebbenden op de hoogte houden, zoals het senior management, personeel of nauw betrokken leveranciers die toegang hadden tot uw meest waardevolle informatiemiddelen, moeten betrokken worden en zich bewust zijn van veel meer over het informatiebeveiligingsbeheersysteem.

Dingen die hier aandacht behoeven zijn onder meer:

• Wat informatiebeveiliging betekent voor de organisatie en de voordelen en gevolgen ervan
• Bewustzijn van de belangrijkste taaltermen en voorbeelden van goede en slechte vertrouwelijkheid, integriteit en beschikbaarheid die voor hen betekenisvol zijn
• Het informatiebeveiligingsbeleid en de controlemaatregelen van de organisatie die van invloed zijn op hun werk en degenen die om hen heen werken
• Wat te doen bij een incident, gebeurtenis of zwakte die zij als eerste signaleren
• Wat te doen als er elders in de organisatie iets is gebeurd en er actie moet worden ondernomen om beschermd te blijven
• Algemene updates en dynamische communicatie die relevant zijn voor hun rol (buiten beleid en controles)

Zorgen voor communicatie en compliance voor ISO 27001-succes

Terwijl een externe auditor die de ISO 27001-certificering uitvoert zorgvuldig zal zoeken naar bewijs van de bovenstaande mededelingen, gaat het belangrijker zakelijke probleem meer over het feit dat de belanghebbenden zich niet bewust zijn van de mededelingen of deze niet naleven. Dat zou snel kunnen leiden tot een ernstig informatiebeveiligingsincident en grote verliezen, vooral als het om persoonsgegevens gaat waar AVG-boetes en grote reputatieschade in het geding zijn.

Waarschijnlijk beschikken de meeste organisaties al over communicatiekanalen; face-to-face werken, teamdagen, e-mail, intranet en andere middelen om personeel te betrekken. We raden aan om al deze zaken in overweging te nemen als deze gewoonten goed zijn opgebouwd bij het personeel en zij erop zullen reageren. Maar als u al te veel e-mails ontvangt en wegdwaalt in teamteleconferenties, zal de opwindende ISMS-communicatie dan de juiste plek bereiken en het gewenste resultaat opleveren?

De uitdaging voor de meeste organisaties is het onvermogen om op kosteneffectieve wijze aan te tonen dat communicatie heeft plaatsgevonden en dat naleving is verzekerd in de interne en externe toeleveringsketen van de belangrijkste belanghebbenden. Interne audits in overeenstemming met clausule 9.2 zijn daarbij een grote hulp, maar zijn over het algemeen zeldzaam en zeer duur voor iets anders dan audits op steekproefomvang en houden over het algemeen geen gelijke tred met de snelle veranderingen in informatiebeveiligingsrisico's en met name cyberbeveiligingskwesties.

Controleurs kijken nu veel nauwkeuriger naar deze communicatiegebieden, gezien de toenemende gevolgen van mislukkingen. Slimme klanten en aandeelhouders besteden naast het ISO-certificaat, naast de verklaring van toepasselijkheid en reikwijdte, ook veel meer aandacht aan de vereisten voor een meer dynamische monitoring van informatiebeveiligingsupdates en compliance-borging. Op mensen gebaseerde compliance evolueert veel dichter in de richting van de technologie en digitale systeemmonitoring die al te zien is in bijvoorbeeld firewalls en antivirusdiensten voor realtime monitoring.

Hoe ISMS.online helpt bij ISMS-communicatie

In de kern is ISMS.online een communicatie- en samenwerkingsplatform, zodat het een goede voorsprong krijgt op ouderwetse statische opnamesystemen die vroeger populair waren voor ISMS- en Governance Regulation and Compliance (GRC)-stijlsystemen. Het verspreidt ook informatie per e-mail naar eindgebruikers, wat geweldig is voor eenvoudige updates en bewustwording, dus het past in die op gewoontes gebaseerde manier van communiceren. Alles wat nodig is voor gedetailleerder nalevingswerk, zoals bewijs van een verbintenis om iets te doen, bijvoorbeeld het lezen van een beleid, brengt gebruikers terug naar het platform waar het forensische audittraject en het bewijs de auditors versteld doen staan ​​en enorme hoeveelheden tijd besparen voor ISMS-beheerders, die op hun beurt kunnen communiceren met vertrouwen terug bij het senior management.

Het platform bedient de verschillende groepen belanghebbenden zeer goed met zijn gebruiksgemak en gerichte werkruimtes die allemaal controleerbaar en op bewijs gebaseerd zijn in overeenstemming met de vereisten van de standaard.

Het bereiken van communicatievertrouwen voor krachtige klanten, het senior management en externe auditors

Specifiek ontwikkeld in nauwe samenwerking met eindgebruikers, een groot deel van de functieset in ISMS.online is de Policy Pack-service waarmee ISMS-beheerders de naleving van het beleid en de controles voor iedereen binnen het bereik kunnen aantonen. Deze innovatieve dienst, gekoppeld aan het ISMS-overzichtsrapport (verderonder) en de algemene samenwerkingsfuncties van groepen, levert veel kostenbesparende, risicoverminderende en andere voordelen op.

• productie van beleid en controles in één keer, maar maakt distributie naar gerichte groepen eenvoudig mogelijk (bijv. per afdeling, locatie, rol, product enz.)
• het vermogen om te zien dat beleid op elk moment dynamisch wordt gelezen en nageleefd
• het vermogen om gebieden van mogelijke niet-naleving snel en gemakkelijk op te sporen en aan te pakken – waarbij de aandacht wordt gericht op de hoogste risico’s en er geen audittijd of andere beperkte middelen worden verspild
• het vermogen om externe auditors, machtige eindklanten en het senior management te laten zien dat zij de controle hebben over het hele ISMS, van de identificatie van de informatie-items, de risicobeoordeling ervan, de controles die erop worden toegepast en het publiek waarop het beleid wordt toegepast – alle belangrijke aspecten van het voldoen aan de ISMS-vereisten voor ISO 27001

Voor meer gevorderde gebruikers die de relatie willen zien tussen informatiemiddelen, risico's, controles en de communicatie van het beleid naar de gebruikers door middel van Policy Packs, doet het ISMS-overzichtsrapport precies dat. Het toont vertrouwen van begin tot eind en helpt snel hiaten, problemen of verspillingen te isoleren die verder gaan dan de krachtige verklaring van toepasbaarheid die vereist is voor ISO 27001 clausule 6.1.3.

Informatiebeveiligingscommunicatie naar personeel, leveranciers en andere belanghebbenden die moeten worden betrokken en moeten aantonen dat zij voldoen aan ISO 27001

Het is geweldig als krachtige informatiebeveiligingsbeheersystemen goed werken voor het ISMS-management en de beheerders om hun doelen te bereiken. De ISMS-oplossingen moeten ook goed werken voor die occasionele gebruikers die hun beleid moeten begrijpen en naleven, op de hoogte moeten zijn van wat er aan de hand is, moeten deelnemen aan discussies, incidenten moeten melden en op taken moeten reageren. Dat is precies wat ISMS.online biedt: de mogelijkheid om deze belangrijke belanghebbenden compliant en betrokken te houden in een dynamisch maar incidenteel toegangsmodel.

Medewerkers kunnen hun informatiebeveiligings- (en ander) beleid lezen en naleven in een Kindle-achtige leeservaring, zonder enige ruis van de gespecialiseerde delen van het ISMS. Ze kunnen gemakkelijk hun leesvoortgang en naleving laten zien terwijl ze het werk voltooien. Hiermee wordt ook de bovenstaande beheerconsole dynamisch bijgewerkt. Wanneer een beleid wordt bijgewerkt, kan de beheerder dit eenvoudig naar alle lezers verspreiden en onder hun aandacht brengen.

Naast de Policy Pack-service biedt ISMS online een aantal manieren om de communicatie en betrokkenheid van het personeel te garanderen, waaronder ISMS-communicatiegroepen, die geweldig zijn om updates uit te zenden, deel te nemen aan discussies, taken toe te wijzen via e-mailmeldingen en het bewijs daarvan te tonen aan auditors en om kennis vast te houden voor nieuwe medewerkers en anderen die in de toekomst moeten worden ingeschakeld. Deze vereisten zijn niet zo eenvoudig met sommige van de meer traditionele communicatie- en messenger-producten die op de markt verkrijgbaar zijn of alleen met e-mail. Naast deze kerndiensten van groepen en beleidspakketten, maken vele andere functies op het platform het hele communicatieproces ook tot een rijkere, meer geïntegreerde ervaring.

Word tot 5x sneller gecertificeerd met ISMS.online

Compliance hoeft niet ingewikkeld te zijn – ISMS.online is ontworpen om u te helpen de ISO 27001-certificering snel en betaalbaar te behalen zonder dat er training nodig is.
We hebben het ISO 27001-proces gestroomlijnd met onze Assured Results-methode, een voorsprong van 80%, uw eigen 24/7 virtuele coach, eenvoudige onboarding en deskundige ondersteuning.

Boek een platformdemo om te zien hoe ISMS.online uw bedrijf kan helpen