ISO 27001 Eis 9.3 – Managementbeoordeling

Wat houdt artikel 9.3 in?

ISO zelf zegt dat de beoordelingen met geplande tussenpozen moeten plaatsvinden, wat doorgaans betekent dat ze minstens één keer per jaar moeten plaatsvinden en binnen een periode van extern audittoezicht. Maar gezien de snelheid waarmee de informatiebeveiligingsbedreigingen veranderen en er nog veel te behandelen valt in managementbeoordelingen, is het onze aanbeveling om deze veel vaker uit te voeren, zoals hieronder beschreven, en ervoor te zorgen dat het ISMS in de praktijk goed functioneert, en niet slechts een vakje aan te vinken voor ISO-naleving.

De waarde van het Information Security Management System (ISMS) Management Review wordt vaak onderschat. Sommigen beschouwen het misschien als een vereiste die moet worden afgevinkt, puur om te voldoen aan ISO 27001-vereiste 9.3. Maar om goede informatiebeveiligingspraktijken echt te kunnen 'leven en ademen', is de rol ervan van onschatbare waarde.

Het doel van de Management Review is ervoor te zorgen dat het ISMS en de doelstellingen ervan geschikt, adequaat en effectief blijven, gezien het doel, de problemen en de risico's van de organisatie rond de informatiemiddelen. Deze zullen eerder zijn behandeld binnen 4.1 de organisatie en haar context, 4.2 de eisen van belanghebbenden, 4.3 reikwijdte van het ISMS, en 6.1 voor de risicobeheerwerkzaamheden.

Het werk voorafgaand aan en rond de managementbeoordeling zal het senior management in staat stellen goed geïnformeerde, strategische beslissingen te nemen die een materieel effect zullen hebben op de informatiebeveiliging en de manier waarop de organisatie deze beheert.

Wat moet er in de ISO 27001 Management Review staan?

De managementreview moet minimaal een standaardformat volgen, waarbij gekeken wordt naar de eisen van 9.3 voor ISO 27001:2103. Deze worden hieronder uiteengezet. Daarnaast kan het ook zijn dat de organisatie andere compliance-regimes in de review wil betrekken, zoals Cyber ​​Essentials, ISO 9001 en andere good practices, om effectieve reviews en geïnformeerde besluitvorming mogelijk te maken. Het kan zelfs de 9.3 informatiebeveiligingsaspecten voor 9.3 koppelen aan bredere senior managementvergaderingen of formele bestuursvergaderingen. Hoe dan ook, het moet de resultaten en acties uit de beoordelingen documenteren.

Voor organisaties die zich in de implementatiefase van hun ISMS bevinden, raden we ook aan om wekelijks managementbeoordelingen uit te voeren als onderdeel van het opbouwen van een goede praktijk, en daarin implementatielessen, doelstellingen en kwesties voor de volgende periode op te nemen naast de elementen van de formele managementagenda die kunnen worden aangepast. afgedekt. Externe auditors zien graag dat de organisatie de geest van de managementbeoordeling omarmt en zien graag de effectiviteit van plannings- en implementatiewerkzaamheden, die ook passen in de vereisten van clausule 7.5 en clausule 8 voor de werking.

De formele ISO 27001 management review 9.3-agenda moet het volgende omvatten:

• De status van acties uit eerdere managementbeoordelingen
• Veranderingen in externe en interne kwesties die relevant zijn voor het managementsysteem voor informatiebeveiliging
• Feedback over de informatiebeveiligingsprestaties, inclusief trends in:
• non-conformiteiten en corrigerende maatregelen;
• monitoring- en meetresultaten;
• auditresultaten; En
• het verwezenlijken van informatiebeveiligingsdoelstellingen.
• Feedback van geïnteresseerde partijen
• Resultaten van de risicobeoordeling en status van het risicobehandelingsplan; En
• Mogelijkheden voor continue verbetering.

Misschien wil je nog een extra punt toevoegen:

• Maak overeenstemming over de auditfocus voor de komende periode. Dit is optioneel als u een wendbare organisatie bent en niet in staat bent om het hele auditprogramma volledig te specificeren en te ver van tevoren te plannen. Houd er echter rekening mee dat sommige externe auditors meer duidelijkheid willen over het hele programma voor de certificeringscyclus!

De uitkomsten van de managementbeoordeling moeten beslissingen omvatten met betrekking tot mogelijkheden voor voortdurende verbetering en eventuele behoeften aan wijzigingen in het informatiebeveiligingsbeheersysteem.

Wie moet de ISO 27001 Management Review bijwonen?

Gezien het bovenstaande is het duidelijk dat de ISO 27001 management review, mits er goed over nagedacht is, een onmisbaar instrument is om ervoor te zorgen dat het ISMS effectief blijft in het helpen van de organisatie om de beoogde resultaten van de investeringen in het informatiebeveiligingsbeheer te bereiken.

Wil het ISMS effectief zijn in een organisatie, dan heeft het de betrokkenheid van het senior management nodig en als zodanig is het logisch dat de leden van een ISMS-'bestuur' autoriteit hebben in zaken die verband houden met informatiebeveiliging. Normaal gesproken kan een ISMS-bestuur bestaan ​​uit de Chief Information Security Officer (CISO) en ander senior management, samen met de vertegenwoordigers die het ISMS in de praktijk beheren. Rollen op het gebied van informatiebeveiliging hoeven niet fulltime of exclusief te zijn, maar hebben wel duidelijkheid nodig over rollen, verantwoordelijkheden en bevoegdheden, zoals uiteengezet in artikel 5.3. Het hebben van een ISMS-bord helpt dat proces ook.

De uitkomsten van de managementbeoordeling omvatten beslissingen met betrekking tot mogelijkheden voor voortdurende verbetering en eventuele behoeften aan wijzigingen in het informatiebeveiligingsbeheersysteem.

Wat is de ideale Management Review-frequentie?

Er geldt een minimumvereiste om eenmaal per jaar een managementbeoordeling uit te voeren, en vaker als er materiële wijzigingen plaatsvinden die van invloed kunnen zijn op de informatiebeveiliging en het ISMS. De frequentie zal echter worden bepaald door de eis van het management om het succes van het ISMS te monitoren. Er bestaat ook het gevaar dat hoe groter het interval, hoe groter het werk zal zijn dat betrokken zal zijn bij het beoordelen van de voorgaande periode. Het vergroot ook het risico dat een storing in het ISMS niet tijdig wordt geïdentificeerd.

Om die reden raden we maandelijks, tweemaandelijks of zelfs driemaandelijks aan als uw ISMS redelijk stabiel is. Zeker, managementbeoordelingen moeten met geplande tussenpozen plaatsvinden om ervoor te zorgen dat het ISMS 'geschikt, adequaat en effectief' blijft.

Voor degenen die ISO 27001-certificering van hun ISMS willen, is het ook belangrijk op te merken dat er tijdens de fase 1 desktopaudit een vereiste is om aan te tonen dat de reguliere beoordelingen plaatsvinden.

We raden aan om wekelijkse managementbeoordelingen vóór fase 1-audit te doen, omdat dit uw implementatieproject op koers houdt, de gewoonte opbouwt en binnen een maand voldoende bewijsmateriaal heeft verzameld, met behulp van het eenvoudige Management Review-programma op het platform, om de auditor tevreden te stellen en ga in de stemming voor toekomstige beoordelingen.

Managementreviews met ISMS.online

ISMS.online maakt het beheren van uw volledige ISMS eenvoudig, inclusief de managementreviews voor informatiebeveiliging.

ISMS.online brengt alles samen in één veilige, online omgeving waar je samenwerkt met collega’s, het benodigde bewijsmateriaal eenmalig vastlegt en hier eenvoudig naartoe navigeert voor, tijdens en na de beoordeling.