Punkt 8 normy ISO 27001 dotyczy działania SZBI w celu spełnienia wymogów bezpieczeństwa informacji niezbędnych do osiągnięcia celów bezpieczeństwa informacji określonych w sekcji 6.2.
Co obejmuje punkt 8.3?
Punkt 8.3 wymaga od organizacji wdrożenia planu postępowania z ryzykiem związanym z bezpieczeństwem informacji oraz przechowywania udokumentowanych informacji na temat wyników tego postępowania. Wymóg ten dotyczy zatem zapewnienia, że procesy przetwarzania ryzyka opisane w klauzuli 6.1, Działania mające na celu uwzględnienie ryzyk i szans, faktycznie mają miejsce. Powinno to obejmować dowody i jasne ścieżki audytu przeglądów i działań, które pokazują zmiany ryzyka w czasie w miarę realizacji wyników inwestycji (nie tylko po to, aby dać zarówno organizacji, jak i audytorowi pewność, że leczenie ryzyka osiąga swoje cele). Podobnie jak w przypadku innych części klauzuli 8, jest to już osiągnięte, jeśli organizacja zajęła się całym SZBI, stosując podejście opisane w klauzuli 7.5.
Spełnienie wymagań punktu 8.3
Aby spełnić wymagania klauzuli 8.3, muszą Państwo być w stanie wykazać, że plan postępowania z ryzykiem opisany w klauzuli 6.1 jest wdrażany.
Jak opisano bardziej szczegółowo w punkcie 6.1, musi to obejmować dowody na leczenie. Mówiąc prościej, „leczenie” może oznaczać pracę wykonywaną wewnętrznie w celu kontrolowania i tolerowania ryzyka lub mogą to być kroki podejmowane w celu przeniesienia ryzyka (np. do dostawcy) lub może to być całkowite wyeliminowanie ryzyka. Mechanizmy kontrolne wybrane do zarządzania ryzykiem powinny obejmować między innymi mechanizmy opisane w Załączniku A do standardu. Te kontrole z Załącznika A tworzą Oświadczenie o stosowalności (SoA), które opisuje wszystkie kontrole i dlaczego zostały lub nie zostały wdrożone przez organizację.