ISO 27001 Eis 5.3 – Organisatorische rollen en verantwoordelijkheden

Wat houdt artikel 5.3 in?

ISO 27001 zoekt eenvoudigweg naar duidelijkheid en focus op de belangrijkste onderdelen van het ISMS – wie in het algemeen verantwoordelijk is, wie verantwoordelijk is voor bepaalde onderdelen, alle goede en logische bedrijfspraktijken. U moet aantonen dat bepaalde rollen (niet noodzakelijkerwijs mensen) bestaan, zijn benoemd door het topmanagement en dat deze zijn gecommuniceerd naar de relevante geïnteresseerde partijen en duidelijk zijn gedocumenteerd, zodat er geen dubbelzinnigheid bestaat. De vereiste is hier van vrij hoog niveau en gemakkelijk te documenteren, en past ook bij andere delen van het informatiebeveiligingsbeheersysteem, bijvoorbeeld eigenaren van beveiligingsrisico's in 6.1, eigenaren van info sec-doelstellingen in 6.2 enz.

Eén individu kan dus meer dan één rol vervullen en u kunt het werk verenigen, bijvoorbeeld door een raad van bestuur alles te laten overzien, om managementbeoordelingen in overeenstemming met 9.3 aan te tonen en het managementsysteem voor informatiebeveiliging volledig op elkaar af te stemmen. Maak gewoon duidelijk wie waarvoor verantwoordelijk is. Denk na over de rollen waarbij geïnteresseerde partijen in gedachten zijn, maar ook over de praktische uitvoering ervan. De rol van CISO (Chief Information Security Officer) zou bijvoorbeeld voor uw klanten kunnen betekenen dat u informatiebeveiliging serieus neemt en dat zou door een senior executive kunnen worden gedaan naast hun dagelijkse baan, of als het in een grotere organisatie een volwaardige organisatie is. -tijdrol op zichzelf.

U kunt er ook voor kiezen om een ​​TISO (Technical Information Security Officer), of gelijkwaardig, te hebben die technischer is en zich kan concentreren op die aspecten van het ISMS als de andere rollen worden vervuld door meer commerciële/strategische personen. Zie bijlage A 6.1.1 (over de organisatie van informatiebeveiliging) en zorg ervoor dat u deze eis op één lijn brengt met die bijlage A-beheersing.

ISO 27001 zoekt specifiek naar duidelijkheid in rollen en verantwoordelijkheden voor:

• Ervoor zorgen dat het informatiebeveiligingsbeheersysteem voldoet aan de eisen van de Internationale Organisatie voor Standaardisatie
• Het rapporteren van de prestaties van het ISMS (wat veel eenvoudiger is als alles op één plek staat)

Het zou heel goed kunnen zijn dat een senior executive de verantwoordelijkheid heeft voor het ISMS als onderdeel van de leiderschapsinzet op het gebied van informatiebeveiliging (5.1), maar hij kan het beheer ervan uiteraard delegeren aan anderen in de organisatie, of uitbesteden aan gespecialiseerde partijen zoals de virtuele organisatie. CISO, waar veel van de ISMS.online-partners diensten rond aanbieden. Vergeet niet om het te documenteren!

Maak het eenvoudiger met ISMS.online

Het ISMS.online platform maakt het voor het topmanagement eenvoudig om een ​​informatiebeveiligingsbeleid vast te stellen dat consistent is met het doel en de context van de organisatie.

Uw ISMS omvat een kant-en-klaar informatiebeveiligingsbeleid dat eenvoudig kan worden aangepast aan uw organisatie. Dit beleid dient als raamwerk voor het herzien van doelstellingen en omvat toezeggingen om aan alle toepasselijke vereisten te voldoen en het managementsysteem voortdurend te verbeteren. Dit beleid kan eenvoudig worden gedeeld met geïnteresseerde partijen en worden ingediend voor aanbestedingen of andere externe communicatie.