ISO 27001 Eis 5.2 – Informatiebeveiligingsbeleid

Wat houdt artikel 5.2 in?

Het senior management moet een aantal dingen rond dat beleid doen om het tot leven te brengen – en niet alleen het beleid gereed hebben om te delen als onderdeel van een aanbestedingsreactie! Toen een klant in het recente verleden een potentiële leverancier om een ​​kopie van zijn informatiebeveiligingsbeleid vroeg, kon dat document een aantal aardige en pluizige dingen zeggen over informatiebeveiligingsbeheer, risicobeheer en informatieborging om te voldoen aan een selectievakje-oefening door een inkoper. op de inkoopafdeling. Dat is (in het algemeen) niet langer het geval. Slimme kopers zullen niet alleen een beveiligingsbeleid willen zien, ze willen misschien dat dit wordt ondersteund door bewijs dat het beleid in de praktijk werkt – uiteraard geholpen door een onafhankelijk certificeringsorgaan voor informatiebeveiliging zoals UKAS dat het ondersteunt, en een verstandig ISMS erachter.

Enkele van de andere dingen die het topmanagement rond deze clausule moet doen, naast het vaststellen van het beleid zelf, zijn onder meer:

• Ervoor zorgen dat het relevant is voor het doel van de organisatie (dus niet alleen maar iets van Google kopiëren;)
• Het verduidelijken van de informatiebeveiligingsdoelstellingen (meer behandeld in 6.2) of op zijn minst de voorwaarden daarvoor stellen – tip: dit zou de relevante en meetbare aspecten moeten omvatten van het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid rond de informatiemiddelen die in 4.1 zijn geïdentificeerd en in overeenstemming worden gehouden met A8.1 .XNUMX
• Een verbintenis om te voldoen aan de toepasselijke vereisten van de informatiebeveiligingsbehoeften van de organisatie (dat wil zeggen de vereisten die vallen onder de kernvereisten van ISO 27001 en de controles van bijlage A)
• Zorgen voor voortdurende, voortdurende verbetering – een ISMS is voor het leven, en met jaarlijkse surveillance-audits zal het duidelijk zijn om te zien (of niet)
• Waar nodig delen en communiceren met de organisatie en geïnteresseerde partijen

Maak het eenvoudiger met ISMS.online

Het ISMS.online platform maakt het voor het topmanagement eenvoudig om een ​​informatiebeveiligingsbeleid vast te stellen dat consistent is met het doel en de context van de organisatie.

Uw ISMS omvat een kant-en-klaar informatiebeveiligingsbeleid dat eenvoudig kan worden aangepast aan uw organisatie. Dit beleid dient als raamwerk voor het herzien van doelstellingen en omvat toezeggingen om aan alle toepasselijke vereisten te voldoen en het managementsysteem voortdurend te verbeteren. Dit beleid kan eenvoudig worden gedeeld met geïnteresseerde partijen en worden ingediend voor aanbestedingen of andere externe communicatie.