ISO 27001 Anforderung 7.2 - Kompetenz

Was beinhaltet Abschnitt 7.2?

In ISO IEC 27001 heißt es in Abschnitt 7.2 im Wesentlichen, dass die Organisation Folgendes sicherstellen wird:

• ermittelte die Kompetenz der Personen, die am ISMS arbeiten und sich auf dessen Leistung auswirken könnten
• Personen, die aufgrund ihrer entsprechenden Ausbildung, Schulung oder Erfahrung als kompetent gelten
• Ergreifen Sie bei Bedarf Maßnahmen, um die erforderliche Kompetenz zu erwerben, und bewerten Sie die Wirksamkeit der Maßnahmen
• Die oben genannten Nachweise werden für Prüfungszwecke aufbewahrt

Auf der Grundlage dieser Anforderungen kann man sich leicht vorstellen, dass die Antwort auf 7.2 darin besteht, einen Experten für Informationssicherheit einzustellen – aber das ist nicht immer notwendig!

Für die erfolgreiche Implementierung und fortlaufende Verwaltung eines nach ISO 27001 zertifizierten ISMS sind eine ganze Reihe von Fähigkeiten und Erfahrungen erforderlich, die über Fachkenntnisse in physischer Sicherheit, Cybersicherheit, Computersicherheit oder anderen Formen der Informationssicherheit an sich hinausgehen.

Dazu gehören: kaufmännisches, rechtliches, HR- und IT-Know-how sowie die relevanten Produkt- und Dienstleistungskenntnisse für die jeweilige Arbeit.

Der Aufbau und Betrieb eines ISMS ist in der Regel eine Teamarbeit. Das Wichtigste ist ein Verständnis der Organisation, ihres Zwecks und ihrer Ziele, ihrer Kultur, ihrer Risikobereitschaft und der in den Abschnitten 4.1, 4.2, 4.3, 6.1, 6.2 ausgedrückten Anforderungen.

Nachweis der Einhaltung von Abschnitt 7.2

Neben den Sensibilisierungs- und Kommunikationsklauseln 7.3 und 7.4 kann 7.2 mit einer pauschalen Aussage über das beteiligte Team und seine Glaubwürdigkeit demonstriert werden, mit Links im gesamten ISMS, um ihre Arbeit als Beweis zu demonstrieren und Zeit zu sparen (wenn Sie eine verbundene Plattform wie verwenden). ISMS.online).

Darüber hinaus ist eine einfache Tabelle zur Darstellung der beteiligten Personen und der von ihnen ausgeübten Rolle mit Notizen sowie ihrer relevanten Erfahrung, Schulung oder Ausbildung hilfreich, und einige Prüfer möchten dieses Detail sehen. Es muss kein Lebenslauf sein, zeigen Sie einfach, warum sie beteiligt sind:
ZB Fred Bloggs – Implementierungsleiter mit einem Tagesjob in der Servicebereitstellung und IT-Manager. Verfügt über 5 Jahre Erfahrung in beiden Bereichen und verfügt über eine entsprechende Schulung oder Ausbildung, z. B. die Teilnahme an Online-Kursen zur Cybersicherheit und einen Masterabschluss in Informatik.

Dies kann sehr einfach gehalten werden, es handelt sich nicht um eine Bedarfsanalyse für Informationssicherheitsschulungen oder einen detaillierten Aktionsplan (obwohl Sie je nach Organisationsstil und ihrem Ansatz bei Personalentwicklungsplänen möglicherweise auch einen solchen Plan wünschen).

Alles, was der externe Prüfer wissen möchte, ist, dass das beteiligte Team kompetent ist und dass es wahrscheinlich ist, dass ein Teil oder das gesamte Team ohnehin in den Prüfungsprozess involviert ist. Zu diesem Zeitpunkt wird sich der Prüfer ohnehin eine eigene Meinung bilden.

Denken Sie daran: Bei der Informationssicherheit, die mit einem geschäftsorientierten Ansatz umgesetzt wird, geht es darum, das Unternehmen besser zu führen, und nicht nur um die Implementierung von 114-Kontrollen. Daher ist es unwahrscheinlich, dass es Lücken in den Kernkompetenzen und im Verständnis Ihrer Organisation gibt, andernfalls ist es unwahrscheinlich, dass sie funktionsfähig ist!

Sollten jedoch Lücken in den Kompetenzen, Fähigkeiten und Erfahrungen rund um die Implementierung und den Betrieb eines Informationssicherheitsmanagementsystems zur Erfüllung dieser Klausel bestehen, können diese auf verschiedene Weise geschlossen werden:

• Entsendung der beteiligten Mitarbeiter zu ISO 27001-Leitauditor-, Leitimplementierer- und Implementierungsschulungen oder zu einem der vielen anderen Informationssicherheitskurse. Dies kann jedoch für eine Person, geschweige denn für ein Team, teuer werden, sowohl was die Kosten als auch die Zeit außerhalb des Büros angeht. Es kann zu eigenständigen Umsetzungsproblemen führen, wenn der Trainer oder das Programm zu allgemein oder altmodisch ist oder die Unternehmenskultur, Arbeitsweisen usw. nicht versteht.
• Das Durchlesen zahlreicher kostenloser Ressourcen im Internet wie dieser Website-Ressourcen, Websites wie dem National Cyber ​​Security Center (NCSC) mit seinen Fachhandbüchern und Checklisten und das Verstehen der ISO 27001- und ISO 27002-Standards wird dem Prüfer zeigen, wie gut er ist auch Kompetenz. Dies steht im Einklang mit Anhang A 6.1.4, um sich über Fachforen für Informationssicherheit und Berufsverbände auf dem Laufenden zu halten und sich daran zu beteiligen.
• Stellen Sie spezielle physische Ressourcen ein, um den Kompetenzaufbau zu unterstützen – es gibt einen wachsenden Markt für virtuelle CISOs (Chief Information Security Officers) und Teams um sie herum. Dies kann sicherlich sinnvoll sein und wir empfehlen es für die gezielte Zusammenarbeit mit den internen Ressourcen, die auf ihrem Gebiet spezialisiert sind, wenn die Organisation Kapazitäts- und Fähigkeitsprobleme hat und das Budget weniger ein Problem darstellt. Viele der ISMS.online-Partner bieten einen solchen Service an und wir empfehlen Ihnen gerne einen Partner, der dabei helfen kann, diese Lücken zu schließen und zusätzlich zu ISMS.online noch mehr Mehrwert zu schaffen.
• Nutzen Sie den Virtual Coach-Service innerhalb von ISMS.online, um Kompetenzen im gesamten Implementierungsteam aufzubauen und zu erweitern und dem Prüfer zu zeigen, dass jedes Mitglied des Teams ein Informationssicherheits-Coaching/Mentoring durchlaufen und im Vorbereitungsplan geschult wurde, damit es es aus der Praxis weiß Informieren Sie sich darüber, was ein Informationssicherheitsmanagementsystem ist, warum es erforderlich ist und welche Aufgabe sie im Team haben. Sie können auch nachweisen, dass sie souverän und konsequent auf einem Niveau arbeiten, das den Virtual Coach-Anleitungen, Tipps und Videos in den einzelnen Anforderungen und Kontrollbereichen von Anhang A folgt.

Lassen Sie sich mit ISMS.online bis zu 5x schneller zertifizieren

Compliance muss nicht kompliziert sein – ISMS.online soll Ihnen dabei helfen, die ISO 27001-Zertifizierung schnell und kostengünstig zu erreichen, ohne dass eine Schulung erforderlich ist.
Wir haben den ISO 27001-Prozess mit unserer Assured Results Method, einem Vorsprung von 80 %, Ihrem eigenen virtuellen Coach rund um die Uhr, einfachem Onboarding und Expertensupport optimiert.

Buchen Sie eine Plattformdemo, um zu sehen, wie ISMS.online Ihrem Unternehmen helfen kann