Wymogiem normy ISO 27001 jest zapewnienie odpowiedniego poziomu środków na ustanowienie, wdrożenie, utrzymanie i ciągłe doskonalenie systemu zarządzania bezpieczeństwem informacji.
Co obejmuje punkt 7.1?
Jak już opisano w odniesieniu do środków zarządzania w klauzuli 5.3, norma ISO 27001 nie wymaga, aby SZBI był obsadzony pełnoetatowymi pracownikami, a jedynie, aby role, obowiązki i uprawnienia były jasno określone i posiadane – pod warunkiem, że odpowiedni poziom środków jest stosowany zgodnie z wymaganiami.
Podobnie jest z punktem 7.1, który działa jako podsumowanie zobowiązania dotyczącego „środków”, które jest następnie opisane bardziej szczegółowo wraz z wymaganiami w:
- 7.2 – Kompetencje środków wsparcia ISO 27001
- 7.3 – Świadomość osób pracujących dla SZBI w celu osiągnięcia ISO 27001
- 7.4 – Komunikacja SZBI ze stronami wewnętrznymi i zewnętrznymi zainteresowanymi SZBI
- 7.5 – Udokumentowane informacje o SZBI w celu wykazania jego zgodności z ISO 27001. Należy również pamiętać, że Załącznik A6 również dobrze łączy się z tym wymaganiem, więc każda z tych kontroli może być rozważana w tym samym czasie podczas ustalania obowiązków SZBI.
Planowanie środków i rozważanie wymagań kadrowych
Jak widać z powyższych odniesień, ISO zrzuca wymagania dotyczące środków z wielu różnych punktów widzenia, więc łatwo jest pomylić się co do poziomu inwestycji w zasoby fizyczne. Sensowne jest przyjrzenie się wszystkim związanym z ludźmi wymaganiom dotyczącym wdrożenia i obsługi SZBI, a następnie organizacja może rozważyć zdolność, zaufanie i zdolność zaangażowanych osób do wykonania pracy.
Niektóre środki mogą wymagać więcej czasu niż inne, na przykład umiejętności prawne i HR mogą być ważne dla niektórych aspektów systemu zarządzania bezpieczeństwem informacji podczas jego wdrażania i okazjonalnych przeglądów ryzyka i polityki, ale nie dla ogólnej codziennej administracji i zarządzania.
Istnieje wiele kursów z zakresu bezpieczeństwa informacji ISO 27001, a także audytorów wiodących ISO 27001, wdrażania ISO 27001 i wiele innych kursów, które mogą budować pewność siebie i umiejętności. Z naszego doświadczenia wynika jednak, że choć czasami mogą one być pomocne, nie zawsze zapewniają zwrot z inwestycji i mogą być problematyczne. W zależności od trenera, kurs może również uczyć starych sposobów pracy, imponować kontrkulturowymi praktykami, które nie sprawdzą się w Twojej organizacji i oznaczać, że cenny czas zostanie poświęcony na naukę rzeczy, które są dość oczywiste, gdy zaczniesz je wdrażać!