ISO/IEC 27001:2022

7.2 Kompetencje

Punkt 7.2 koncentruje się na kompetencjach. Istnieje szeroki zakres umiejętności i doświadczenia wymaganych do pomyślnego wdrożenia i bieżącego zarządzania SZBI z certyfikatem ISO 27001, wykraczający poza wiedzę specjalistyczną w zakresie bezpieczeństwa fizycznego, cyberbezpieczeństwa, bezpieczeństwa komputerowego lub innych form bezpieczeństwa informacji.

Co oznacza punkt 7.2?

ISO IEC 27001 dla punktu 7.2 zasadniczo mówi, że organizacja powinna zapewnić, że

  • określiła kompetencje osób wykonujących prace związane z ISMS, które mogą mieć wpływ na jego działanie
  • osoby, które są uważane za kompetentne na podstawie odpowiedniego wykształcenia, uczenia się lub doświadczenia
  • w razie potrzeby podjęła kroki w celu osiągnięcia wymaganych kompetencji i oceniła skuteczność podjętych kroków przechowywanie dowodów potwierdzających powyższe na potrzeby audytu.
  • opierając się na tych wymaganiach, łatwo jest stwierdzić, że odpowiedzią na 7.2 jest zatrudnienie specjalisty ds. bezpieczeństwa informacji – ale nie zawsze jest to konieczne!

Istnieje cały szereg umiejętności i doświadczeń wymaganych do pomyślnego wdrożenia i bieżącego zarządzania SZBI z certyfikatem ISO 27001, wykraczających poza wiedzę specjalistyczną w zakresie bezpieczeństwa fizycznego, cyberbezpieczeństwa, bezpieczeństwa komputerowego lub innych form bezpieczeństwa informacji jako takich. Obejmują one: wiedzę handlową, prawną, HR, IT oraz wiedzę na temat produktów i usług związanych z zakresem prac. Budowanie i obsługa SZBI to zazwyczaj wspólny wysiłek zespołu. Najważniejszą rzeczą jest zrozumienie organizacji, jej celu i założeń, kultury, apetytu na ryzyko oraz wymagań wyrażonych w punktach 4.1, 4.2, 4.3, 6.1, 6.2.

Wykazanie zgodności z punktem 7.2

Oprócz punktów 7.3 dotyczących świadomości i 7.4 dotyczących komunikacji, punkt 7.2 można wykazać za pomocą ogólnego oświadczenia o zaangażowanym zespole i jego wiarygodności, z linkami w całym SZBI, aby zademonstrować ich pracę jako dowód, aby zaoszczędzić czas.

Dodatkowo, prosta tabela pokazująca zaangażowane osoby, rolę, jaką pełnią wraz z notatkami obok ich odpowiedniego doświadczenia, uczenia się lub edukacji jest pomocna, a niektórzy audytorzy lubią widzieć te szczegóły.

Wszystko, co zewnętrzny audytor będzie chciał wiedzieć, to to, że zaangażowany zespół jest kompetentny i prawdopodobnie niektórzy lub wszyscy członkowie zespołu i tak będą zaangażowani w proces audytu, w którym to momencie audytor i tak wyrobi sobie własną opinię.

Pamiętaj, że bezpieczeństwo informacji realizowane zgodnie z podejściem biznesowym polega na lepszym prowadzeniu działalności, a nie tylko na wdrażaniu kontroli dla samej kontroli. Dlatego jest mało prawdopodobne, aby istniały luki w podstawowych umiejętnościach i zrozumieniu Twojej organizacji, w przeciwnym razie jest mało prawdopodobne, aby działała!

Jeśli jednak istnieją luki w kompetencjach, umiejętnościach i doświadczeniu w zakresie wdrażania i prowadzenia systemu zarządzania bezpieczeństwem informacji w celu spełnienia tej klauzuli, można je wypełnić na wiele sposobów.

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM