Dużą częścią obsługi systemu zarządzania bezpieczeństwem informacji jest traktowanie go jako „żyjącego” i „oddychającego” systemu zarządzania. Organizacje, które poważnie podchodzą do kwestii doskonalenia, będą oceniać, testować, weryfikować i mierzyć wydajność SZBI w ramach szerszej strategii biznesowej, wykraczając poza system.
Co obejmuje punkt 10.2?
W normie ISO 27001 uwzględniono już kilka mechanizmów ciągłej oceny i doskonalenia SZBI, w tym:
- 6.1 Ocena ryzyka i zarządzanie ryzykiem – na bieżąco
- 6.2 Monitorowanie, pomiar i ocena celów – na bieżąco
- 9.2 Audyty wewnętrzne – na bieżąco
- 9.3 Przeglądy zarządzania – na bieżąco
- 10.1 Niezgodności i działania naprawcze – na bieżąco
Większość z powyższych działań zazwyczaj nie musi znajdować się na liście usprawnień per se (proszę więc wyraźnie zaznaczyć to w polityce) i można je wykazać jako część ciągłego doskonalenia poważnego traktowania działania SZBI.
Ulepszenia mogą również pochodzić z wielu innych miejsc i należy zachęcać do ich dokumentowania w ramach procesu doskonalenia SZBI . Należą do nich:
- Prośby lub obawy klientów.
- Dane trendów z innych systemów operacyjnych.
- Inne obserwacje, np. od dostawców lub innych zainteresowanych stron.
- Zmiany przepisów prawa i standardów.