Punkt 4.2. wymagań normy ISO 27001 dotyczy „Zrozumienia potrzeb i oczekiwań zainteresowanych stron Twojej organizacji”. Jest to naprawdę ważna część normy ISO 27001. Podobnie jak w przypadku punktu 4.1 ISO dotyczącego kwestii wewnętrznych i zewnętrznych, nie ma zbyt wielu wskazówek dotyczących zainteresowanych stron. Jest to coś, czym możemy się wspólnie zająć i zapewnić solidniejsze podstawy, na których można budować system zarządzania bezpieczeństwem informacji.
Co oznacza termin „zainteresowana strona”?
Najprościej rzecz ujmując, zainteresowana strona to interesariusz – osoba, grupa lub podmiot zainteresowany Twoim SZBI (lub być może samą organizacją). Po zidentyfikowaniu wewnętrznych i zewnętrznych kwestii, które mają wpływ na zamierzone wyniki systemu zarządzania bezpieczeństwem informacji, powinieneś być w stanie łatwo zidentyfikować wiele zainteresowanych stron. Będą to pracownicy, dostawcy, klienci, udziałowcy, dyrektorzy, potencjalni klienci, członkowie zarządu, konkurenci, ustawodawcy i organy regulacyjne, związki zawodowe itp.
Ważne jest, aby pamiętać, że zainteresowane strony nie zawsze muszą być od razu widoczne. Na przykład hakerzy i powiązane złośliwe strony mogą wymagać rozważenia, podobnie jak media i inne istotne strony w zależności od charakteru Twojej firmy i stojących przed nią problemów.
Zamiast tworzyć szereg uniwersalnych zasad i kontroli dla wszystkich zainteresowanych stron, korzystniejsze może być rozważenie ich władzy, zainteresowania i wsparcia. Można to osiągnąć poprzez zbadanie ich zdolności do wpływania na Twoje podejście do SZBI.
Potrzeby innych zainteresowanych stron w celu skutecznego wdrożenia SZBI ISO 27001
Jeśli zainteresowana strona ma zarówno duże zainteresowanie, jak i dużą władzę, nazwalibyśmy ją kluczowym graczem. Te zainteresowane strony powinny być aktywnie zaangażowane. Twój zespół kierowniczy wyższego szczebla, szefowie kluczowych działów, kluczowi dostawcy itp. prawdopodobnie będą należeć do tej kategorii. W tej kategorii mogą znaleźć się niektórzy z Twoich ważnych klientów. Mogą oni być bardzo zainteresowani tym, jak pracujesz na co dzień, ponieważ ma to również wpływ na nich.
Łatwo jest tworzyć długie listy interesariuszy do rozważenia, ale uważaj, aby nie poświęcać zbyt wiele czasu tym, którzy mają mniejszą władzę. Interesariusze o mniejszej władzy i większym zainteresowaniu muszą być na bieżąco informowani, ale mogą nie potrzebować konsultacji na temat tego, co obejmuje Twój SZBI – być może wystarczy im o tym powiedzieć, w przeciwnym razie mogą być dużym obciążeniem dla Twojego czasu i budżetu inwestycyjnego!
Uważaj także, aby po prostu nie wrzucać interesariuszy, których nie lubisz, do niższych kategorii uprawnień – widzieliśmy to w jednej firmie. Zapłacili za to później, ponieważ interesariusz był w rzeczywistości dość potężny i opóźnił osiągnięcie ich celów, ponieważ ich wymagania nie były traktowane priorytetowo. Połączenie pracy z zainteresowanymi stronami i interesariuszami z wewnętrznymi i zewnętrznymi kwestiami, które zidentyfikowałeś w punkcie 4.1, pomaga lepiej zrozumieć, skąd mogą wynikać zagrożenia i możliwości w twoim systemie zarządzania bezpieczeństwem informacji. W połączeniu z zakresem Twojego SZBI (4.3) prowadzi to do znacznie bardziej logicznego i biznesowego podejścia do oceny ryzyka w punkcie 6.1 i znacznie większego bezpieczeństwa informacji dzięki politykom i kontrolom, które Twoi pracownicy i interesariusze docenią i zaakceptują.