Prawdopodobnie wiesz, dlaczego chcesz wdrożyć swój SZBI i masz określone cele organizacyjne dotyczące tego, jak wygląda osiągnięcie sukcesu. Punkt 6.2 zaczyna sprawiać, że staje się to bardziej wymierne i istotne dla działań związanych z bezpieczeństwem informacji, w szczególności ochrony poufności, integralności i dostępności (CIA) zasobów informacyjnych objętych zakresem.
Co obejmuje klauzula 6.2?
Podchodząc do tego wymagania, ważne jest, abyś już zrozumiał organizację i jej kontekst (4.1), zidentyfikował wymagania zainteresowanych stron (4.2), określił swój zakres (4.3) i przynajmniej rozpoczął ocenę ryzyka i zarządzanie nim (6.1).
Wymóg dla 6.2 to:
„Ustal mające zastosowanie (i, tam gdzie to wykonalne, mierzalne) cele bezpieczeństwa informacji, biorąc pod uwagę wymogi bezpieczeństwa informacji oraz wyniki oceny i postępowania z ryzykiem. Określ, co zostanie zrobione, jakie środki są potrzebne, kto jest odpowiedzialny, kiedy zostanie to zrobione i jak zostaną ocenione wyniki”. Tak więc klauzula 6.2 standardu zasadniczo sprowadza się do pytania: „Skąd wiesz, czy Twój system zarządzania bezpieczeństwem informacji działa zgodnie z założeniami?”
Jak wyznaczyć cele dla wersji 6.2
Rozważając cele, które chcesz osiągnąć w swoim systemie zarządzania bezpieczeństwem informacji, upewnij się, że są one zorientowane na biznes i rzeczy, które pomogą Ci prowadzić (bardziej) bezpieczną, lepiej działającą organizację, a nie tylko zaznaczać pola i ładnie wyglądać na stronie. Zastanów się, co interesariusze chcą, aby było mierzone i monitorowane.
Na przykład, dlaczego klienci kupują od Ciebie i czego obawiają się z punktu widzenia bezpieczeństwa informacji? Jaki poziom bezpieczeństwa informacji, jakie środki i monitorowanie byłyby dla nich ważne, gdyby przyjrzeli się bliżej Twojemu SZBI? Skoncentruj się na opracowaniu znaczących celów, a nie tylko szeregu środków lub celów, które oznaczają, że spędzasz cały swój czas na administrowaniu i nie dodajesz wartości do organizacji. Być może już mierzysz i monitorujesz swoje cele, więc pamiętaj, aby rozważyć, co już robisz, a co może wymagać większego wysiłku. ISO nie próbuje nikogo złapać na pomiarze, chce tylko upewnić się, że mierzysz to, co ma znaczenie, a wiele inteligentnych organizacji już to robi w sposób dorozumiany, jeśli nie bardziej wyraźny.
Połącz swoją pracę tutaj ściśle z przeglądami zarządzania w punkcie 9.3 i umieść dowody wyników w obszarze roboczym tablicy przeglądów zarządzania lub link do nich w celu łatwego odniesienia się do konkretnych spotkań przeglądowych i audytów.