ISO/IEC 27001:2022

7.4 Komunikacja

Punkt 7.4 normy ISO IEC 27001 zawiera pięć wytycznych dotyczących komunikacji, ale ich znaczenie dla wyników SZBI jest prawdopodobnie większe niż jakiekolwiek inne wymaganie dotyczące systemu zarządzania bezpieczeństwem informacji. W końcu nie jest dobrze mieć światowej klasy system zarządzania bezpieczeństwem informacji, który jest zrozumiały tylko dla eksperta ds. bezpieczeństwa informacji w organizacji!

Co obejmuje punkt 7.4?

Podobnie jak w przypadku innych części SZBI, istnieją możliwości połączenia i wykazania, że system zarządzania bezpieczeństwem informacji, w szczególności jego wymagania dotyczące komunikacji, stanowią spójną, zintegrowaną część procesów komunikacji, uczenia, szkolenia i podnoszenia świadomości w organizacji.

Kontrola ta, wraz z wymogiem zawartym w punkcie 7.4 głównych wymagań ISO 27001, aby wykazać „jak” i jak skuteczna jest komunikacja, wraz z potrzebą, aby kierownictwo wyższego szczebla faktycznie chroniło swoją organizację, a nie tylko zaznaczało pole, oznacza, że wymagana jest dynamiczna i pewna komunikacja w celu zapewnienia zgodności.

Kogo należy uwzględnić w komunikatach, które mogą ich zainteresować?

Punktem wyjścia powinna być praca wykonana w punkcie 4.2, polegająca na przyjrzeniu się zainteresowanym stronom i spojrzeniu wstecz, aby zrozumieć ich potrzeby i wymagania dotyczące komunikacji, które oczywiście byłyby zgodne z ich pozycją na mapie interesariuszy oraz podstawowymi kwestiami i obawami, jakie mieliby w związku z jej wydajnością. Tak jak poprzednio, jeden rozmiar nie będzie pasował do wszystkich pod względem tego, co, dlaczego i w jaki sposób odbywa się komunikacja. Na przykład zainteresowana strona, taka jak brytyjski komisarz ds. informacji w celu wykazania zgodności z ustawą o ochronie danych i RODO, będzie chciała wiedzieć tylko dwie rzeczy: a) czy są Państwo zarejestrowani jako administrator danych i / lub podmiot przetwarzający; oraz b) kiedy doświadczyli Państwo incydentu bezpieczeństwa, który spowodował straty lub potencjalne konsekwencje, które wchodzą w zakres ich zainteresowania.

Innymi zadowolonymi interesariuszami mogą być potężni klienci, a także zewnętrzni audytorzy ISO 27001, zwłaszcza jeśli rozważana jest niezależna certyfikacja lub podobna. Chcą oni mieć pewność, że SZBI działa dobrze i mieć regularną pewność informacji, która pochodzi z audytów nadzoru i być może prawo do audytu w wybranym przez siebie czasie, a także być informowani o istotnych zmianach lub incydentach.

Kluczowi gracze i na bieżąco informowani interesariusze, tacy jak kierownictwo wyższego szczebla, pracownicy lub zaangażowani dostawcy, którzy mieli dostęp do najcenniejszych zasobów informacyjnych, muszą być zaangażowani i świadomi znacznie więcej na temat systemu zarządzania bezpieczeństwem informacji.

Rzeczy, które należałoby tutaj rozważyć, obejmują:

  • Co bezpieczeństwo informacji oznacza dla organizacji i jakie są jego korzyści, a także konsekwencje.
  • Świadomość kluczowych terminów językowych i przykładów dobrej i złej poufności, integralności i dostępności, które są dla nich znaczące.
  • Polityki i mechanizmy kontroli bezpieczeństwa informacji w organizacji, które mają wpływ na ich pracę i osoby pracujące w ich otoczeniu
  • Co zrobić w przypadku incydentu, zdarzenia lub słabości, które zidentyfikują jako pierwsi?
  • Co zrobić, gdy coś wydarzyło się w innym miejscu w organizacji i muszą podjąć działania, aby zachować ochronę?
  • Ogólne aktualizacje i dynamiczne komunikaty, które są istotne dla ich roli (poza politykami i kontrolami)

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM