ISO/IEC 27001:2022

9.3 Przegląd zarządzania

Odpowiedzialność za przeprowadzenie przeglądu zarządzania ISO 27001 spoczywa na kierownictwie wyższego szczebla. Przeglądy te powinny być zaplanowane z wyprzedzeniem i odbywać się wystarczająco często, aby zapewnić, że System Zarządzania Bezpieczeństwem Informacji ( SZBI ) jest nadal skuteczny w osiąganiu celów organizacji.

Co oznacza punkt 9.3?

Norma ISO mówi, że przeglądy powinny odbywać się w zaplanowanych odstępach czasu, zazwyczaj co najmniej raz w roku i w okresie nadzoru audytu zewnętrznego. Biorąc jednak pod uwagę tempo zmian w zagrożeniach bezpieczeństwa informacji i ilość informacji, które można uwzględnić w przeglądzie zarządzania, naszym zaleceniem jest przeprowadzanie ich znacznie częściej, jak opisano poniżej, oraz zapewnienie, że SZBI działa dobrze w praktyce, a nie tylko zaznacza pole zgodności z ISO.

Wartość przeglądu zarządzania systemem zarządzania bezpieczeństwem informacji („SZBI”) jest często niedoceniana. Niektórzy mogą postrzegać go jako wymóg, który należy wykonać tylko po to, aby spełnić wymóg ISO 27001 9.3.

Celem przeglądu zarządzania jest zapewnienie, że SZBI i jego cele pozostają odpowiednie, adekwatne i skuteczne, biorąc pod uwagę cel organizacji, kwestie i ryzyka związane z zasobami informacyjnymi. Zostały one omówione wcześniej w punktach 4.1 Organizacja i jej kontekst, 4.2 Wymagania interesariuszy, 4.3 Zakres SZBI oraz 6.1 w odniesieniu do prac związanych z zarządzaniem ryzykiem.

Prace prowadzące do przeglądu zarządzania i wokół niego umożliwią kierownictwu wyższego szczebla podejmowanie świadomych, strategicznych decyzji, które będą miały znaczący wpływ na bezpieczeństwo informacji i sposób zarządzania nim przez organizację.

Co powinien zawierać przegląd zarządzania ISO 27001?

Przegląd zarządzania musi być co najmniej zgodny ze standardowym formatem, który uwzględnia wymagania określone w punkcie 9.3 . Ponadto organizacja może również chcieć uwzględnić w przeglądzie inne systemy zgodności, takie jak np.: ISO 9001 i inne dobre praktyki, aby ułatwić skuteczne przeglądy i podejmowanie świadomych decyzji. Może nawet powiązać aspekty bezpieczeństwa informacji 9.3 z szerszymi spotkaniami kierownictwa wyższego szczebla lub formalnymi posiedzeniami zarządu. Tak czy inaczej, należy udokumentować wyniki i działania wynikające z przeglądów.

Organizacjom, które są na etapie wdrażania swojego SZBI, zalecamy również przeprowadzanie cotygodniowych przeglądów zarządzania w ramach budowania dobrych praktyk i uwzględnianie wniosków z wdrożenia, celów na następny okres i kwestii obok tych elementów formalnego programu zarządzania, które mogą zostać pominięte.

Formalny program przeglądu zarządzania ISO 27001 9.3 powinien uwzględniać:

a) status działań z poprzednich przeglądów zarządzania;
b) zmiany w kwestiach zewnętrznych i wewnętrznych, które są istotne dla systemu zarządzania bezpieczeństwem informacji;
c) zmiany w potrzebach i oczekiwaniach zainteresowanych stron, które są istotne dla systemu zarządzania bezpieczeństwem informacji;
d) informacje zwrotne na temat wyników w zakresie bezpieczeństwa informacji, w tym tendencje w zakresie:
1) niezgodności i działań naprawczych;
2) wyników monitorowania i pomiarów
3) wyników audytów;
4) realizacji celów w zakresie bezpieczeństwa informacji;
e) informacje zwrotne od zainteresowanych stron;
f) wyniki oceny ryzyka i status planu postępowania z ryzykiem;
g) możliwości ciągłego doskonalenia.

Wyniki przeglądu zarządzania obejmują decyzje związane z możliwościami ciągłego doskonalenia i wszelkimi potrzebami zmian w systemie zarządzania bezpieczeństwem informacji.

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM