Punkt 7.4 normy ISO IEC 27001 zawiera pięć wytycznych dotyczących komunikacji, ale ich znaczenie dla wyników SZBI jest prawdopodobnie większe niż jakiekolwiek inne wymaganie dotyczące systemu zarządzania bezpieczeństwem informacji. W końcu nie jest dobrze mieć światowej klasy system zarządzania bezpieczeństwem informacji, który jest zrozumiały tylko dla eksperta ds. bezpieczeństwa informacji w organizacji!
Co obejmuje punkt 7.4?
Podobnie jak w przypadku innych części SZBI, istnieją możliwości połączenia i wykazania, że system zarządzania bezpieczeństwem informacji, w szczególności jego wymagania dotyczące komunikacji, stanowią spójną, zintegrowaną część procesów komunikacji, uczenia, szkolenia i podnoszenia świadomości w organizacji.
Kontrola ta, wraz z wymogiem zawartym w punkcie 7.4 głównych wymagań ISO 27001, aby wykazać „jak” i jak skuteczna jest komunikacja, wraz z potrzebą, aby kierownictwo wyższego szczebla faktycznie chroniło swoją organizację, a nie tylko zaznaczało pole, oznacza, że wymagana jest dynamiczna i pewna komunikacja w celu zapewnienia zgodności.
Kogo należy uwzględnić w komunikatach, które mogą ich zainteresować?
Punktem wyjścia powinna być praca wykonana w punkcie 4.2, polegająca na przyjrzeniu się zainteresowanym stronom i spojrzeniu wstecz, aby zrozumieć ich potrzeby i wymagania dotyczące komunikacji, które oczywiście byłyby zgodne z ich pozycją na mapie interesariuszy oraz podstawowymi kwestiami i obawami, jakie mieliby w związku z jej wydajnością. Tak jak poprzednio, jeden rozmiar nie będzie pasował do wszystkich pod względem tego, co, dlaczego i w jaki sposób odbywa się komunikacja. Na przykład zainteresowana strona, taka jak brytyjski komisarz ds. informacji w celu wykazania zgodności z ustawą o ochronie danych i RODO, będzie chciała wiedzieć tylko dwie rzeczy: a) czy są Państwo zarejestrowani jako administrator danych i / lub podmiot przetwarzający; oraz b) kiedy doświadczyli Państwo incydentu bezpieczeństwa, który spowodował straty lub potencjalne konsekwencje, które wchodzą w zakres ich zainteresowania.
Innymi zadowolonymi interesariuszami mogą być potężni klienci, a także zewnętrzni audytorzy ISO 27001, zwłaszcza jeśli rozważana jest niezależna certyfikacja lub podobna. Chcą oni mieć pewność, że SZBI działa dobrze i mieć regularną pewność informacji, która pochodzi z audytów nadzoru i być może prawo do audytu w wybranym przez siebie czasie, a także być informowani o istotnych zmianach lub incydentach.
Kluczowi gracze i na bieżąco informowani interesariusze, tacy jak kierownictwo wyższego szczebla, pracownicy lub zaangażowani dostawcy, którzy mieli dostęp do najcenniejszych zasobów informacyjnych, muszą być zaangażowani i świadomi znacznie więcej na temat systemu zarządzania bezpieczeństwem informacji.
Rzeczy, które należałoby tutaj rozważyć, obejmują:
- Co bezpieczeństwo informacji oznacza dla organizacji i jakie są jego korzyści, a także konsekwencje.
- Świadomość kluczowych terminów językowych i przykładów dobrej i złej poufności, integralności i dostępności, które są dla nich znaczące.
- Polityki i mechanizmy kontroli bezpieczeństwa informacji w organizacji, które mają wpływ na ich pracę i osoby pracujące w ich otoczeniu
- Co zrobić w przypadku incydentu, zdarzenia lub słabości, które zidentyfikują jako pierwsi?
- Co zrobić, gdy coś wydarzyło się w innym miejscu w organizacji i muszą podjąć działania, aby zachować ochronę?
- Ogólne aktualizacje i dynamiczne komunikaty, które są istotne dla ich roli (poza politykami i kontrolami)