Punkt 7.3 normy ISO IEC 27001 jest prosty do połączenia z punktem 7.2 dotyczącym kompetencji i 7.4 dotyczącym szerszej komunikacji na temat systemu zarządzania bezpieczeństwem informacji ze wszystkimi zainteresowanymi stronami.
Co obejmuje klauzula 7.3?
ISO 27001 wymaga potwierdzenia, że osoby wykonujące pracę są świadome:
- Polityki bezpieczeństwa informacji
- Ich wkładu w skuteczność SZBI, w tym korzyści wynikających z jego poprawy.
- Co się dzieje, gdy system zarządzania bezpieczeństwem informacji nie spełnia jego wymagań?
Wykaż znajomość punktu 7.3.
W ramach wspólnego wdrażania SZBI środki zaangażowane w jego ustanowienie będą zaangażowane w tworzenie polityki bezpieczeństwa informacji, która zostanie zatwierdzona przez najwyższe kierownictwo (klauzula 5.2). Będą oni dobrze rozumieć swoją rolę, ponieważ zostanie ona uzgodniona i udokumentowana w ramach klauzuli 7.1 (i innych wspomnianych już obszarów).
Zalecamy również, aby:
- Każda osoba zaangażowana we wdrażanie SZBI zapoznała się z normą ISO 27001, aby zrozumieć wymagania, a następnie pokazano jej, w jaki sposób są one realizowane w praktyce. Obejmuje to świadomość i zrozumienie punktów 6.1 Zarządzanie ryzykiem, 6.2 Cele SZBI oraz 9.1 Dalsze pomiary i ocena, 9.2 Audyty wewnętrzne, 9.3 Przeglądy zarządzania, 10.1 Niezgodności i działania korygujące oraz 10.2 Ciągłe doskonalenie.
- Oprócz szczególnej świadomości w zakresie administrowania i działania SZBI, o której mowa powyżej, zdecydowanie zalecamy również, aby pracownicy zaangażowani w SZBI podążali tą samą ścieżką, co osoby uczestniczące w szerszej komunikacji zgodnie z klauzulą 7.4, w której uwzględniono komunikację, zaangażowanie i zgodność personelu, co również pokrywa się z cyklem życia bezpieczeństwa personelu, w szczególności z załącznikiem A 6.3 – Świadomość, edukacja i szkolenia w zakresie bezpieczeństwa informacji.