ISO/IEC 27001

ISO 27001 Eis 5.3 – Organisatorische rollen en verantwoordelijkheden

Bekijk hoe u ISO 27001 sneller kunt behalen met ISMS.online

Bekijk het in actie
Door Mark Sharron | Bijgewerkt op 14 december 2023

Deze clausule gaat erom dat het topmanagement ervoor zorgt dat de rollen, verantwoordelijkheden en bevoegdheden duidelijk zijn voor het informatiebeveiligingsbeheersysteem. Dit betekent niet dat de organisatie een aantal nieuwe medewerkers moet aanstellen of de benodigde middelen moet overzien; het is een vaak verkeerd begrepen verwachting die kleinere organisaties ervan weerhoudt de norm te halen.

Ga naar onderwerp


Wat houdt artikel 5.3 in?

ISO 27001 zoekt eenvoudigweg naar duidelijkheid en focus op de belangrijkste onderdelen van het ISMS – wie in het algemeen verantwoordelijk is, wie verantwoordelijk is voor bepaalde onderdelen, alle goede en logische bedrijfspraktijken. U moet aantonen dat bepaalde rollen (niet noodzakelijkerwijs mensen) bestaan, zijn benoemd door het topmanagement en dat deze zijn gecommuniceerd naar de relevante geïnteresseerde partijen en duidelijk zijn gedocumenteerd, zodat er geen dubbelzinnigheid bestaat. De vereiste is hier van vrij hoog niveau en gemakkelijk te documenteren, en past ook bij andere delen van het informatiebeveiligingsbeheersysteem, bijvoorbeeld eigenaren van beveiligingsrisico's in 6.1, eigenaren van info sec-doelstellingen in 6.2 enz.

Hoe ISMS.online u helpt

ISMS.online maakt in de praktijk ook een groot deel van het ISMS-eigendom en de betrokkenheid gemakkelijk met zijn samenwerkende teamlidmaatschappen, eigenaren van beleidsactiviteiten, eigenaren van risico's, incidenten, verbeteringen enz. - die allemaal kunnen voortkomen uit de duidelijkheid van het topmanagement die voortkomt uit deze clausule 5.3.

Boek een platformdemo om het in actie te zien.

Boek een platformdemo

Eén individu kan dus meer dan één rol vervullen en u kunt het werk verenigen, bijvoorbeeld door een raad van bestuur alles te laten overzien, om managementbeoordelingen in overeenstemming met 9.3 aan te tonen en het managementsysteem voor informatiebeveiliging volledig op elkaar af te stemmen. Maak gewoon duidelijk wie waarvoor verantwoordelijk is. Denk na over de rollen waarbij geïnteresseerde partijen in gedachten zijn, maar ook over de praktische uitvoering ervan. De rol van CISO (Chief Information Security Officer) zou bijvoorbeeld voor uw klanten kunnen betekenen dat u informatiebeveiliging serieus neemt en dat zou door een senior executive kunnen worden gedaan naast hun dagelijkse baan, of als het in een grotere organisatie een volwaardige organisatie is. -tijdrol op zichzelf.

U kunt er ook voor kiezen om een ​​TISO (Technical Information Security Officer), of gelijkwaardig, te hebben die technischer is en zich kan concentreren op die aspecten van het ISMS als de andere rollen worden vervuld door meer commerciële/strategische personen. Zie bijlage A 6.1.1 (over de organisatie van informatiebeveiliging) en zorg ervoor dat u deze eis op één lijn brengt met die bijlage A-beheersing.

ISO 27001 zoekt specifiek naar duidelijkheid in rollen en verantwoordelijkheden voor:

  • Ervoor zorgen dat het informatiebeveiligingsbeheersysteem voldoet aan de eisen van de Internationale Organisatie voor Standaardisatie
  • Het rapporteren van de prestaties van het ISMS (wat veel eenvoudiger is als alles op één plek staat)

Het zou heel goed kunnen zijn dat een senior executive de verantwoordelijkheid heeft voor het ISMS als onderdeel van de leiderschapsinzet op het gebied van informatiebeveiliging (5.1), maar hij kan het beheer ervan uiteraard delegeren aan anderen in de organisatie, of uitbesteden aan gespecialiseerde partijen zoals de virtuele organisatie. CISO, waar veel van de ISMS.online-partners diensten rond aanbieden. Vergeet niet om het te documenteren!


Maak het eenvoudiger met ISMS.online

Het ISMS.online platform maakt het voor het topmanagement eenvoudig om een ​​informatiebeveiligingsbeleid vast te stellen dat consistent is met het doel en de context van de organisatie.

Uw ISMS omvat een kant-en-klaar informatiebeveiligingsbeleid dat eenvoudig kan worden aangepast aan uw organisatie. Dit beleid dient als raamwerk voor het herzien van doelstellingen en omvat toezeggingen om aan alle toepasselijke vereisten te voldoen en het managementsysteem voortdurend te verbeteren. Dit beleid kan eenvoudig worden gedeeld met geïnteresseerde partijen en worden ingediend voor aanbestedingen of andere externe communicatie.

Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Boek een demo

ISO 27001:2022-vereisten


ISO 27001:2022 Bijlage A Controles

Organisatorische controles


Mensencontroles


Fysieke controles


Technologische controles


Over ISO 27001


Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu