ISO/IEC 27001:2022

10.1 Ciągłe doskonalenie

Punkt 10.1 jest częścią wymogu doskonalenia w ramach normy ISO 27001. Dotyczy ona działań podejmowanych przez organizację w celu usunięcia niezgodności związanych z bezpieczeństwem informacji. Działania naprawcze wynikające z niezgodności są również kluczową częścią procesu doskonalenia SZBI, którą należy wykazać, wraz z wszelkimi innymi konsekwencjami spowodowanymi przez niezgodność.

Co obejmuje punkt 10.1?

Punkt 10.1 normy ISO 27001 w rzeczywistości oferuje organizacjom proces do naśladowania jako podstawową część normy, a inteligentne organizacje zintegrują ten proces z szerszym wymogiem ciągłego doskonalenia w punkcie 10.2.

Podejście procesowe obejmuje:

  • Identyfikację niezgodności
  • Reagowanie na nią – zarówno korygowanie lub kontrolowanie jej, jak i radzenie sobie z konsekwencjami
  • Ocenę, czy istnieje przyczyna źródłowa, którą należy się zająć (np. na podstawie wzorca, pomiaru i innych kwestii, które mogą odnosić się do innych części ISMS, które mogą stać się widoczne podczas przeglądów zarządzania i innych części operacji).
  • Przeglądać (tj. monitorować) skuteczność wszelkich zmian lub interwencji.
  • W razie potrzeby proszę wprowadzić inne zmiany w SZBI
  • Upewnić się, że wykonane prace są udokumentowane. Niektóre organizacje mogą wymagać uwzględnienia w tym procesie procesów podpisywania i zatwierdzania, zwłaszcza w przypadku inwestycji w zmiany lub z powodu niepowodzeń w dostawie i strat, które mogą wystąpić.

Proszę pamiętać, że aby osiągnąć i utrzymać certyfikat ISO 27001, audytor będzie oczekiwał dowodów na poprawę. Nie jest porażką pokazanie, że zajmują się Państwo niezgodnościami, podejmują działania naprawcze itp., więc proszę upewnić się, że są one widoczne tam, gdzie jest to stosowne, aby zademonstrować filozofię ciągłego doskonalenia wymaganą przez normę. Ukrywanie rzeczy i udawanie, że nie ma problemów, będzie również czerwoną kartą dla audytora, dlatego zalecamy, aby organizacja była otwarta i przyjmowała ulepszenia – chociaż najlepiej byłoby, gdyby niewiele z nich, jeśli w ogóle, było wynikiem niezgodności!

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM