ISO/IEC 27001:2022

7.3 Świadomość

Punkt 7.3 normy ISO IEC 27001 jest prosty do połączenia z punktem 7.2 dotyczącym kompetencji i 7.4 dotyczącym szerszej komunikacji na temat systemu zarządzania bezpieczeństwem informacji ze wszystkimi zainteresowanymi stronami.

Co obejmuje klauzula 7.3?

ISO 27001 wymaga potwierdzenia, że osoby wykonujące pracę są świadome:

  • Polityki bezpieczeństwa informacji
  • Ich wkładu w skuteczność SZBI, w tym korzyści wynikających z jego poprawy.
  • Co się dzieje, gdy system zarządzania bezpieczeństwem informacji nie spełnia jego wymagań?

Wykaż znajomość punktu 7.3.

W ramach wspólnego wdrażania SZBI środki zaangażowane w jego ustanowienie będą zaangażowane w tworzenie polityki bezpieczeństwa informacji, która zostanie zatwierdzona przez najwyższe kierownictwo (klauzula 5.2). Będą oni dobrze rozumieć swoją rolę, ponieważ zostanie ona uzgodniona i udokumentowana w ramach klauzuli 7.1 (i innych wspomnianych już obszarów).

Zalecamy również, aby:

  • Każda osoba zaangażowana we wdrażanie SZBI zapoznała się z normą ISO 27001, aby zrozumieć wymagania, a następnie pokazano jej, w jaki sposób są one realizowane w praktyce. Obejmuje to świadomość i zrozumienie punktów 6.1 Zarządzanie ryzykiem, 6.2 Cele SZBI oraz 9.1 Dalsze pomiary i ocena, 9.2 Audyty wewnętrzne, 9.3 Przeglądy zarządzania, 10.1 Niezgodności i działania korygujące oraz 10.2 Ciągłe doskonalenie.
  • Oprócz szczególnej świadomości w zakresie administrowania i działania SZBI, o której mowa powyżej, zdecydowanie zalecamy również, aby pracownicy zaangażowani w SZBI podążali tą samą ścieżką, co osoby uczestniczące w szerszej komunikacji zgodnie z klauzulą 7.4, w której uwzględniono komunikację, zaangażowanie i zgodność personelu, co również pokrywa się z cyklem życia bezpieczeństwa personelu, w szczególności z załącznikiem A 6.3 – Świadomość, edukacja i szkolenia w zakresie bezpieczeństwa informacji.

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM