Punkt 4.1 wymagań ISO 27001 dotyczy zrozumienia organizacji i jej kontekstu. Wyznacza ona punkt wejścia do normy ISO 27001 i stanowi podstawę budowania i zarządzania Systemem Zarządzania Bezpieczeństwem Informacji ( SZBI ). Należy określić, w jaki sposób organizacja definiuje: Jak funkcjonuje SZBI, czy funkcjonuje on prawidłowo, kiedy funkcjonuje i w jaki sposób.
Określenie tych kwestii odnosi się do ustalenia zewnętrznego i wewnętrznego kontekstu organizacji, o którym mowa w klauzuli 5.4.1 normy ISO 31000:2018.
Kwestie wewnętrzne i zewnętrzne w ISO/IEC 27001
ISO/IEC 27001 nie dostarcza szczegółowych wytycznych dotyczących tego, co może stanowić kwestię wewnętrzną lub zewnętrzną. Dla organizacji nowych w zarządzaniu bezpieczeństwem informacji, brak konkretnych przykładów może prowadzić do utraty czasu na interpretację tych wymagań.
W rzeczywistości, to, co stanowi kwestię wewnętrzną lub zewnętrzną, zależy od wielu czynników, takich jak kultura organizacyjna, zaangażowane osoby, punkt wyjścia oraz wartości, które są narażone na ryzyko. Na przykład, mała, dobrze zarządzana firma z jasno określonym celem i ograniczoną liczbą interesariuszy może z łatwością zidentyfikować wpływające na nią kwestie podczas krótkiej sesji burzy mózgów przy filiżance herbaty.
Dla innych organizacji proces ten może być bardziej czasochłonny. Zalecamy podejście polegające na szybkim ćwiczeniu typu burza mózgów, aby uniknąć nadmiernej analizy na wstępnym etapie. Więcej kwestii wewnętrznych i zewnętrznych z pewnością zostanie zidentyfikowanych w miarę postępu wdrażania systemu zarządzania bezpieczeństwem informacji (SZBI) i dążenia do lepszego zapewnienia bezpieczeństwa informacji.
Jak zidentyfikować kwestie wewnętrzne
Proces identyfikacji może przyjąć formę sesji z tablicą, notatek na karteczkach samoprzylepnych lub po prostu zbierania notatek, które później zostaną uporządkowane. Ważne jest, aby zebrać odpowiednie osoby i rozpocząć dyskusję.
Audytorzy zewnętrzni ISO 27001 będą szukać dowodów na to, że organizacja zrozumiała kwestie, które mogą wpłynąć na wyniki ISMS, i że zostały one odpowiednio udokumentowane. Te informacje będą następnie wykorzystane do identyfikacji zainteresowanych stron, ustalenia zakresu ISMS, dokumentowania celów, budowania inwentaryzacji zasobów oraz przeprowadzania analizy ryzyka związanego z bezpieczeństwem informacji przed opracowaniem odpowiednich polityk i kontroli.
Przykłady kwestii wewnętrznych
Oto kilka obszarów, w których mogą pojawić się kwestie wewnętrzne wpływające na wyniki ISMS:
Informacje jako aktywa: Jakie informacje są tworzone, obsługiwane, przechowywane, zarządzane i mają rzeczywistą wartość dla organizacji i jej zainteresowanych stron? Dane osobowe, wrażliwe pomysły klientów, prawa własności intelektualnej, informacje finansowe, marka, bazy kodów itp. są kluczowe dla ISMS.
Kwestie związane z ludźmi: Wszelkie istniejące problemy związane z rekrutacją, wdrożeniem, zarządzaniem w trakcie pracy oraz zmianą ról i odejściem pracowników.
Organizacyjne kwestie wewnętrzne: Szybki rozwój, presje ze strony kierownictwa, zarządu lub udziałowców, różnice kulturowe w operacjach międzynarodowych.
Produkty i usługi: Jakie produkty i usługi są dostarczane przez organizację i jakie kwestie związane z bezpieczeństwem informacji mogą się pojawić?
Systemy i procesy: Rozważenie systemów ręcznych i papierowych oraz cyfrowych, które mogą być ukryte lub nadmiernie skomplikowane.
Jak zidentyfikować kwestie zewnętrzne
Metoda PESTLE (polityczna, ekonomiczna, socjologiczna, technologiczna, prawna i środowiskowa) jest przydatnym narzędziem do analizy zewnętrznej. Powinna być stosowana praktycznie, skupiając się na kwestiach wpływających na wyniki SZBI, a nie na dogłębnej analizie strategicznej.
Podsumowanie
Wszystkie istotne kwestie wewnętrzne i zewnętrzne powinny być uwzględnione w bardziej szczegółowej analizie ryzyka. Nie wszystkie kwestie są faktycznie ryzykiem, a niektóre są ważniejsze od innych. Ważne jest, aby unikać nadmiernej analizy ryzyka na wstępnym etapie i skupić się na identyfikacji zagadnień.