ISO/IEC 27001:2022

7.5 Udokumentowane informacje

Każdy, kto jest zaznajomiony z działaniem zgodnie z uznaną międzynarodową normą ISO IEC, wie, jak ważna jest dokumentacja systemu zarządzania. Audytorzy posiadający certyfikaty ISO pokładają duże zaufanie w dobrym zarządzaniu i utrzymaniu dobrze zorganizowanego systemu zarządzania bezpieczeństwem informacji oraz zapisów, które to potwierdzają.

Co oznacza punkt 7.5?

Jednym z głównych wymogów normy ISO 27001 jest zatem opisanie Państwa systemu zarządzania bezpieczeństwem informacji, a następnie wykazanie, w jaki sposób osiąga on zamierzone wyniki dla organizacji. Niezwykle ważne jest, aby wszystko związane z SZBI było udokumentowane, dobrze utrzymane i łatwe do znalezienia, jeśli organizacja ma uzyskać niezależną certyfikację ISO/IEC 27001.

Punkt 7.5 normy ISO 27001 jest podzielony w następujący sposób:

Punkt 7.5.1 – Dokumentacja ogólna dla ISO 27001

SZBI musi wyraźnie zawierać:

Opis sposobu, w jaki odnosi się on do 4.1 do 10.2 podstawowych wymagań, w tym oceny ryzyka i postępowania prowadzącego do wyboru kontroli z załącznika A. Odpowiednie kontrole z Załącznika A, które stanowią część oświadczenia o stosowalności – co w praktyce oznacza, że wszystkie kontrole muszą być wymienione. Nawet jeśli organizacja zdecyduje, że kontrola nie jest istotna, powinna to udokumentować, np. jeśli nie potrzebuje obszarów dostawy i załadunku w Załączniku A 7.2 ponieważ jest to działalność czysto cyfrowa, musi wykazać audytorowi, że uznała, że nie ma ryzyka i nie ma potrzeby stosowania tej kontroli.

Punkt 7.5.2 – Tworzenie i aktualizacja udokumentowanych informacji dla ISO 27001

Norma ISO/IEC 27001 wymaga jasności w dokumentacji, poszukując identyfikacji i opisu, formatu, przeglądu i zatwierdzenia pod kątem przydatności i adekwatności do celu. Łatwo jest przeoczyć niuanse tych wymagań, ale w praktyce oznacza to uwzględnienie autora, daty, tytułu, odniesienia itp., a ten proces zatwierdzania jest również bardzo ważny, aby dostosować się do załącznika A 5.1 jak opisano poniżej.

Punkt 7.5.3 – Kontrola udokumentowanych informacji dla ISO 27001

U podstaw SZBI leży zasada poufności, integralności i dostępności informacji. Podobnie jak w przypadku samego ISMS, muszą one być dostępne w razie potrzeby i odpowiednio chronione przed utratą poufności, nieuprawnionym użyciem lub potencjalnym naruszeniem integralności. Wrzucenie treści SZBI na dysk współdzielony zespołu i pozostawienie ich bez kontroli lub z nieefektywnymi uprawnieniami dostępu prawie na pewno doprowadziłoby do problemów organizacji podczas audytu. Podobnie, pozostawienie go na dysku osobistym, niedostępnym dla osób, które muszą wiedzieć o SZBI, byłoby równie problematyczne, więc istnieje wiele obszarów, które należy wziąć pod uwagę w celu zapewnienia skutecznej kontroli. ISO oczekuje, że organizacja zajmie się następującymi aspektami

Przejrzystość udostępniania i dystrybucji, kontrola dostępu do części lub całości SZBI – pamiętając, że prawa dostępu do odczytu, aktualizacji, zatwierdzania, usuwania itp. mogą być różne w zależności od roli interesariusza. Przechowywanie i retencja, w tym kontrola zmian (wyświetlanie poprzednich wersji, historyczne zatwierdzenia itp.) Należy również uwzględnić przechowywanie i usuwanie.
Wymóg ten jest również zgodny z okresowym przeglądem polityk, o którym mowa w załączniku A.5.1. również omówionym poniżej.

Ile należy napisać, aby dokumentacja SZBI była akceptowalna dla audytora?

Często zadawanym pytaniem dotyczącym dokumentacji zarządzania bezpieczeństwem informacji jest „ile wystarczy”. Krótka odpowiedź brzmi, że jest to kwestia jakości, a nie ilości. Tak długo, jak organizacja spełnia wymagania podsumowane poniżej i może wykazać, że nie potrzebuje długiej, rozwlekłej dokumentacji, audytor niewątpliwie weźmie to pod uwagę podczas audytu – np. ponieważ jest to mała organizacja z niewielką liczbą interesariuszy wokół SZBI, stabilna, przejrzysta, dobrze utrzymana i łatwa w obsłudze.

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM