W każdym systemie zarządzania potrzebna jest zachęta i przywództwo ze strony najwyższych szczebli zarządzania, nawet jeśli poszczególne osoby nie są głęboko zaangażowane w codzienną rutynę. W małej organizacji dyrektor generalny może odgrywać bardzo praktyczną rolę, ale jeśli firma jest duża i zróżnicowana, to jest prawie niemożliwe, aby jedna osoba była głęboko zaangażowana we wszystkie działania. Mimo to liderzy firmy nie mogą izolować się od procedur i muszą być postrzegani jako zainteresowani i poddający się temu samemu poziomowi zaangażowania, którego oczekują od pracowników. Mogą oni wyjaśnić zespołowi zagrożenia dla reputacji, wydajności i tym podobnych, jakie niesie ze sobą słabe zarządzanie bezpieczeństwem informacji, a także mogą być entuzjastycznymi uczestnikami dyskusji.
Przykład płynie z góry
Na początku, rolą lidera jest zdobycie zrozumienia tematu, najlepiej z pomocą pracowników wewnętrznych, a także ekspertów zewnętrznych, takich jak jednostka akredytująca. Muszą oni wiedzieć, co zastosowanie i implikacje normy będą oznaczać dla firmy i być w stanie przekazać to innym. Muszą również rozumieć, jak obecne procesy i ryzyka są identyfikowane i obsługiwane.
W przypadku zarządzania bezpieczeństwem informacji, zrozumienie będzie musiało rozpocząć się od uzyskania kopii odpowiedniej normy - ISO 27001 oraz wszelkich związanych z nią wytycznych lub dodatków. Następnie należy zebrać zespół, który zajmie się rozwojem. Podczas budowania zespołu ważne jest, aby uwzględnić wszystkie sektory pracowników i operacji.
Ze względu na swój charakter, bezpieczeństwo informacji będzie wymagało dużego wkładu i kontroli operacyjnej ze strony specjalistów IT i techników w organizacji. To oni będą w stanie najlepiej zidentyfikować obszary ryzyka i zaproponować możliwe środki i rozwiązania ochronne. W przypadku udanego cyberataku będą to również osoby, na które spadnie zadanie odbudowy systemów i przywrócenia normalnego funkcjonowania. Zespół techniczny powinien zostać poproszony o opracowanie systemu kopii zapasowych, który zwiększy bezpieczeństwo poprzez tworzenie kopii zapasowych danych w odizolowanym systemie offline, niepodatnym na oprogramowanie ransomware i podobne zagrożenia.
Prawdopodobnie będą oni postrzegać innych pracowników jako słabe ogniwo w łańcuchu bezpieczeństwa danych i do pewnego stopnia mogą mieć rację. Jednak inni pracownicy mają swoje własne zestawy umiejętności i są równie ważni dla sukcesu firmy, więc mogą potrzebować dodatkowych wskazówek, jak rozpoznawać i obsługiwać podejrzane zagrożenia cybernetyczne.
Angażowanie pracowników na każdym szczeblu
Chociaż zespół techniczny będzie miał za zadanie zbudować ramy, ważne jest, aby zrozumieć praktyki pracy i potrzeby innych działów i personelu. System, który jest tak bezpieczny jak Fort Knox, ale nie pozwala pracownikom działać jest bardziej przeszkodą dla sukcesu firmy. Ważne jest również to, że system jest tak skonstruowany, że podąża za wytycznymi dołączonymi do normy ISO, w przeciwnym razie może nie być uznany za odpowiedni do certyfikacji.
Kierownicy i pracownicy działu kontroli jakości będą chcieli się upewnić, że ISMS integruje się z innymi systemami zarządzania funkcjonującymi w organizacji. Systemy, które łączą się ze sobą, zapewniają bardziej efektywną organizację i zazwyczaj oznaczają, że czas i koszty audytów mogą zostać zredukowane, ponieważ różne systemy mogą być oceniane jednocześnie.
Części organizacji, które są bardziej skierowane do klientów i dostawców, to obszary, w których sieć informacyjna jednej organizacji może wchodzić w interakcje z siecią innej organizacji. Obszary te mogą być słabymi ogniwami, jeśli jedna z organizacji traktuje zarządzanie informacjami mniej poważnie. Pracownicy pracujący w tych obszarach mogą często znajdować się pod presją realizacji celów, a połączenie szybkiego tempa codziennej rutyny i powiązań z innymi organizacjami jest obszarem, którym należy odpowiednio zarządzać.
Zapewnienie, że system jest dostosowany do potrzeb
Budując system, należy wziąć pod uwagę jego przyszłe zarządzanie i udoskonalanie. Może to oznaczać, że nowe platformy oprogramowania mogą być korzystne, ale w każdym przypadku dokumentowanie i decydowanie o odpowiednich procesach musi być skutecznie wykonane w tym momencie. Wszyscy uczestnicy zespołu muszą współpracować w tym momencie i mogą skorzystać z pewnych szkoleń i pracy wraz z jednostką certyfikującą, aby zapewnić, że system jest odpowiedni do celu.
Kolejny krok, jakim jest rozpoczęcie wdrażania systemu, może być najtrudniejszy, ponieważ prawdopodobnie będzie wiązał się z pewnymi zmianami w praktykach pracy. Z tego powodu konieczny jest stały przegląd i ocena procesów i praktyk, a w przypadku zidentyfikowania problemów wszystkie strony muszą zdecydować, jak najlepiej je rozwiązać. Po wprowadzeniu systemu i używaniu go przez jakiś czas oraz przeprowadzeniu co najmniej jednego audytu wewnętrznego, należy rozważyć złożenie wniosku o certyfikację.
Aby ułatwić Państwu drogę do uzyskania zgodności z normą ISO 27001, proszę skorzystać z samooceny DNV, która pozwoli zrozumieć Państwa gotowość.
Relacje biznesowe z jednostką certyfikującą/rejestratorem będą prawdopodobnie trwały przez wiele lat, ponieważ certyfikacja musi być utrzymywana. Aby mieć skuteczny system zarządzania, kluczowe jest ciągłe doskonalenie. DNV pomoże Państwu uzyskać maksymalną wartość w procesie certyfikacji dzięki partnerskiemu podejściu, audytom opartym na ryzyku oraz cyfrowym narzędziom zwiększającym efektywność i doskonalenie.
