ISO/IEC 27001:2022

7.1 Środki

Wymogiem normy ISO 27001 jest zapewnienie odpowiedniego poziomu środków na ustanowienie, wdrożenie, utrzymanie i ciągłe doskonalenie systemu zarządzania bezpieczeństwem informacji.

Co obejmuje punkt 7.1?

Jak już opisano w odniesieniu do środków zarządzania w klauzuli 5.3, norma ISO 27001 nie wymaga, aby SZBI był obsadzony pełnoetatowymi pracownikami, a jedynie, aby role, obowiązki i uprawnienia były jasno określone i posiadane – pod warunkiem, że odpowiedni poziom środków jest stosowany zgodnie z wymaganiami.

Podobnie jest z punktem 7.1, który działa jako podsumowanie zobowiązania dotyczącego „środków”, które jest następnie opisane bardziej szczegółowo wraz z wymaganiami w:

  • 7.2 – Kompetencje środków wsparcia ISO 27001
  • 7.3 – Świadomość osób pracujących dla SZBI w celu osiągnięcia ISO 27001
  • 7.4 – Komunikacja SZBI ze stronami wewnętrznymi i zewnętrznymi zainteresowanymi SZBI
  • 7.5 – Udokumentowane informacje o SZBI w celu wykazania jego zgodności z ISO 27001. Należy również pamiętać, że Załącznik A6 również dobrze łączy się z tym wymaganiem, więc każda z tych kontroli może być rozważana w tym samym czasie podczas ustalania obowiązków SZBI.

Planowanie środków i rozważanie wymagań kadrowych

Jak widać z powyższych odniesień, ISO zrzuca wymagania dotyczące środków z wielu różnych punktów widzenia, więc łatwo jest pomylić się co do poziomu inwestycji w zasoby fizyczne. Sensowne jest przyjrzenie się wszystkim związanym z ludźmi wymaganiom dotyczącym wdrożenia i obsługi SZBI, a następnie organizacja może rozważyć zdolność, zaufanie i zdolność zaangażowanych osób do wykonania pracy.

Niektóre środki mogą wymagać więcej czasu niż inne, na przykład umiejętności prawne i HR mogą być ważne dla niektórych aspektów systemu zarządzania bezpieczeństwem informacji podczas jego wdrażania i okazjonalnych przeglądów ryzyka i polityki, ale nie dla ogólnej codziennej administracji i zarządzania.

Istnieje wiele kursów z zakresu bezpieczeństwa informacji ISO 27001, a także audytorów wiodących ISO 27001, wdrażania ISO 27001 i wiele innych kursów, które mogą budować pewność siebie i umiejętności. Z naszego doświadczenia wynika jednak, że choć czasami mogą one być pomocne, nie zawsze zapewniają zwrot z inwestycji i mogą być problematyczne. W zależności od trenera, kurs może również uczyć starych sposobów pracy, imponować kontrkulturowymi praktykami, które nie sprawdzą się w Twojej organizacji i oznaczać, że cenny czas zostanie poświęcony na naukę rzeczy, które są dość oczywiste, gdy zaczniesz je wdrażać!

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM