Ten skoncentrowany na przywództwie punkt normy ISO 27001 ma na celu podkreślenie znaczenia wspierania bezpieczeństwa informacji, zarówno w sposób widoczny, jak i materialny, przez kierownictwo wyższego szczebla. Punkt ten określa konkretne aspekty systemu zarządzania, w przypadku których oczekuje się, że najwyższe kierownictwo wykaże się zarówno przywództwem, jak i zaangażowaniem.
Czy mogę zapytać, czego dotyczy klauzula 5.1?
Punkt te określa konkretne aspekty systemu zarządzania, w przypadku których oczekuje się, że najwyższe kierownictwo wykaże się zarówno przywództwem, jak i zaangażowaniem. Obejmują one między innymi:
- Odpowiedzialność za skuteczność systemu zarządzania;
- Zapewnienie, że polityka i cele zostały ustanowione i są zgodne z kontekstem i strategicznym kierunkiem organizacji;
- Zapewnienie integracji systemu zarządzania z procesami biznesowymi;
- Promowanie stosowania podejścia procesowego i myślenia opartego na ryzyku;
- Zapewnienie odpowiednich zasobów;
- Zapewnienie, że system zarządzania osiąga zamierzone wyniki;
- Angażowanie, kierowanie i wspieranie osób przyczyniających się do skuteczności systemu zarządzania.
Bardzo ważne jest, aby kierownictwo było w pełni zaangażowane w sukces organizacji. Jeśli kierownictwo nie jest aktywnie zaangażowane, na przykład nie uczestnicząc w przeglądach zarządzania lub nie demonstrując audytorowi zewnętrznemu, że przedstawiciel kierownictwa poważnie podchodzi do sprawy podczas audytu, organizacja może ponieść porażkę. Audytorzy często mówią o duchu ISO 27001 pochodzącym z góry, a jeśli tego nie widzą, mogą spojrzeć znacznie głębiej i sceptycznie podczas audytu.
Wykazanie zaangażowania kierownictwa jest niezbędne dla klauzuli 5.1. W tym kontekście bardziej poważny system zarządzania bezpieczeństwem informacji mógłby być korzystny, ponieważ stanowiłby dowód zaangażowania kierownictwa w inwestowanie w SZBI i zaangażowanie w przeglądy zarządzania i podejmowanie szerszych decyzji dotyczących SZBI. Ponadto może służyć jako zapis wymaganych corocznych audytów zewnętrznych dla ISO 27001. Możliwe jest, że dział księgowy (finansowy) może mieć obawy co do integralności rachunkowości finansowej prowadzonej za pomocą arkuszy kalkulacyjnych zamiast profesjonalnej aplikacji księgowej. Posiadanie tych podstaw ułatwia wykazanie zgodności z tym punktem. Wymaga to po prostu udokumentowanych dowodów jako notatek potwierdzających, że przywództwo i zaangażowanie są na miejscu i odnoszą się do punktu 5.1 pkt a-h normy ISO 27001. Wszystkie części połączonego SZBI pokażą to w praktyce.