ISO 27001 Anforderung 7.4 – Kommunikation

Was beinhaltet Abschnitt 7.4?

Wie bei anderen Teilen des ISMS gibt es Möglichkeiten, sich zusammenzuschließen und das Informationssicherheitsmanagementsystem zu demonstrieren. Insbesondere sind seine Kommunikationsanforderungen ein zusammenhängender integrierter Bestandteil der Kommunikations-, Bildungs-, Schulungs- und Sensibilisierungsprozesse der Organisation.

Dieser Abschnitt 7.4 stimmt auch mit Anhang A 7 zur Personalsicherheit überein, in dem die Anforderungen an die Kommunikation bei der Personalsicherheitsüberprüfung beginnen und sich auf die Informationssicherheitsbestimmungen für Arbeitsverträge, Disziplinarverfahren und nach Rollenwechseln oder Austritt erstrecken. Die wichtigste Integration für die Personalsicherheit erfolgt mit A 7.2.2, wo eine Kontrolle des Bewusstseins für Informationssicherheit sowie der Schulung und Schulung erfolgt.

ISO 27001 sucht in dieser Klausel nach folgenden Dingen:

• was über das ISMS zu kommunizieren ist
• wann das mitgeteilt wird
• wer an dieser Kommunikation beteiligt sein wird
• Wer übernimmt die Kommunikation?
• wie das alles passiert, dh welche Systeme und Prozesse werden verwendet, um zu zeigen, dass es passiert und effektiv ist

Insbesondere erfordert die Steuerung nach ISO 27001: 2013 A.7.2.2 Folgendes: „Alle Mitarbeiter der Organisation und gegebenenfalls Auftragnehmer erhalten eine angemessene Sensibilisierung und Schulung sowie regelmäßige Aktualisierungen der Organisationsrichtlinien und -verfahren, soweit sie für ihre berufliche Funktion relevant sind.“

Diese Kontrolle, zusammen mit der Anforderung in Abschnitt 7.4 der Hauptanforderungen von ISO 27001, zu zeigen, „wie“ und wie effektiv Kommunikation ist, sowie der Notwendigkeit, dass die Geschäftsleitung ihre Organisation tatsächlich schützt und nicht nur ein Kästchen ankreuzt, bedeutet, dass sie dynamisch und sicher ist Kommunikation für Vertrauen in die Compliance ist erforderlich.

An wen ist in der Kommunikation zu denken, an wem sie voraussichtlich interessiert sind?

Der Ausgangspunkt dafür sollte die in 4.2 durchgeführte Arbeit sein, indem man sich die interessierten Parteien anschaut und zurückblickt, um ihre Bedürfnisse und Anforderungen an die Kommunikation zu verstehen, die offensichtlich mit ihrer Position auf der Stakeholder-Landkarte und den zugrunde liegenden Problemen und Bedenken übereinstimmen, die sie haben über seine Leistung haben. Nach wie vor gibt es keine allgemeingültige Lösung, wenn es darum geht, was, warum und wie die Kommunikation stattfindet. Beispielsweise möchte eine interessierte Partei wie der britische Datenschutzbeauftragte, die die Einhaltung des Datenschutzgesetzes und der DSGVO nachweist, nur zwei Dinge wissen: a) Sind Sie als Datenverantwortlicher und/oder -verarbeiter registriert? und b) wenn Sie einen Sicherheitsvorfall erlebt haben, der Verluste verursacht oder potenzielle Folgen hat, der in ihren Interessenbereich fällt.

Andere zufriedene Stakeholder sind wahrscheinlich leistungsstarke Kunden und auch externe Auditoren für ISO 27001, insbesondere wenn eine unabhängige UKAS- oder ähnliche Zertifizierung in Betracht gezogen wird. Sie möchten darauf vertrauen können, dass das ISMS gut funktioniert, und über die regelmäßige Informationssicherheit verfügen, die sich aus Überwachungsaudits ergibt, und möglicherweise das Recht auf Audits zu selbst gewählten Zeitpunkten sowie über wesentliche Änderungen oder Vorfälle auf dem Laufenden gehalten werden.

Wichtige Akteure und auf dem Laufenden gehaltene Stakeholder wie die Geschäftsleitung, Mitarbeiter oder eng involvierte Lieferanten, die auf Ihre wertvollsten Informationsbestände zugegriffen haben, müssen einbezogen werden und viel mehr über das Informationssicherheits-Managementsystem wissen.

Zu den Dingen, die hier berücksichtigt werden müssten, gehören:

• Was Informationssicherheit für die Organisation bedeutet und welche Vorteile sie hat und welche Konsequenzen sie hat
• Kenntnis der wichtigsten sprachlichen Begriffe und Beispiele für gute und schlechte Vertraulichkeit, Integrität und Verfügbarkeit, die für sie von Bedeutung sind
• Die Informationssicherheitsrichtlinien und -kontrollen der Organisation, die sich auf ihre Arbeit und die Mitarbeiter in ihrer Umgebung auswirken
• Was ist im Falle eines Vorfalls, Ereignisses oder einer Schwachstelle zu tun, die sie als Erstes erkennen?
• Was ist zu tun, wenn irgendwo in der Organisation etwas passiert ist und Maßnahmen ergriffen werden müssen, um geschützt zu bleiben?
• Allgemeine Aktualisierungen und dynamische Kommunikation, die für ihre Rolle relevant sind (über Richtlinien und Kontrollen hinaus)

Sicherstellung der Kommunikation und Compliance für den Erfolg von ISO 27001

Während ein externer Prüfer, der eine ISO 27001-Zertifizierung durchführt, sorgfältig nach Beweisen für die oben genannten Mitteilungen sucht, besteht das wichtigere Geschäftsproblem eher darin, dass die Stakeholder die Mitteilungen nicht kennen oder sich nicht daran halten. Dies könnte schnell zu einem schwerwiegenden Informationssicherheitsvorfall und großen Verlusten führen, insbesondere wenn es um personenbezogene Daten geht, bei denen DSGVO-Bußgelder und große Reputationsschäden in Betracht gezogen werden.

Es ist wahrscheinlich, dass die meisten Organisationen bereits über Kommunikationskanäle verfügen; persönliches Arbeiten, Teamtage, E-Mail, Intranet und andere Mittel zur Einbindung der Mitarbeiter. Wir empfehlen, alle diese Punkte in Betracht zu ziehen, wenn diese Gewohnheiten bei den Mitarbeitern gut verankert sind und sie darauf reagieren. Wenn Sie jedoch bereits zu viele E-Mails erhalten und in Team-Telefonkonferenzen versinken, wird die aufregende ISMS-Kommunikation dann ankommen und das gewünschte Ergebnis liefern?

Die Herausforderung für die meisten Unternehmen besteht darin, dass sie nicht kosteneffizient nachweisen können, dass Kommunikation stattgefunden hat und dass die Einhaltung der Vorschriften in der gesamten internen und externen Lieferkette der wichtigsten Interessengruppen gewährleistet ist. Interne Audits gemäß Abschnitt 9.2 sind dabei eine große Hilfe, sind jedoch im Allgemeinen selten und mit Ausnahme von Stichprobenprüfungen sehr kostspielig und halten im Allgemeinen nicht mit den raschen Veränderungen der Informationssicherheitsrisiken und insbesondere der Cybersicherheitsfragen Schritt.

Angesichts der zunehmenden Folgen von Misserfolgen befassen sich Wirtschaftsprüfer nun viel intensiver mit diesen Bereichen der Kommunikation. Kluge Kunden und Aktionäre berücksichtigen auch weitaus mehr über das ISO-Zertifikat, über die Anwendbarkeitserklärung und den Geltungsbereich hinaus die Anforderungen an eine dynamischere Überwachung von Informationssicherheitsaktualisierungen und Compliance-Sicherung. Menschenbasierte Compliance rückt viel stärker in Richtung der Technologie und digitalen Systemüberwachung, die bereits in Firewalls und Antiviren-Echtzeitüberwachungsdiensten zu finden ist.

Wie ISMS.online bei der ISMS-Kommunikation hilft

Im Kern handelt es sich bei ISMS.online um eine Kommunikations- und Kollaborationsplattform, sodass es einen guten Vorsprung gegenüber den altmodischen statischen Aufzeichnungssystemen hat, die früher für ISMS- und Governance Regulation and Compliance (GRC)-Systeme beliebt waren. Es verteilt Informationen auch per E-Mail an Endbenutzer, was sich hervorragend für einfache Aktualisierungen und Sensibilisierungszwecke eignet, sodass es in diese gewohnheitsbasierte Art der Kommunikation passt. Alles, was für detailliertere Compliance-Arbeiten erforderlich ist, wie z. B. Beweise, eine Verpflichtung, etwas zu tun, z. B. das Lesen einer Richtlinie, bringt Benutzer zurück auf die Plattform, wo der forensische Prüfpfad und die Beweise Prüfer begeistern und den ISMS-Administratoren, die wiederum mit ihnen kommunizieren können, enorm viel Zeit sparen Vertrauen zurück in die Geschäftsleitung.

Die Plattform bedient die verschiedenen Anspruchsgruppen mit ihrer Benutzerfreundlichkeit und den fokussierten Arbeitsbereichen, die alle überprüfbar und evidenzbasiert sind und den Anforderungen des Standards entsprechen, sehr gut.

Erreichen von Kommunikationsvertrauen für leistungsstarke Kunden, Führungskräfte und externe Prüfer

Ein Großteil davon wurde speziell in enger Zusammenarbeit mit Endbenutzern entwickelt Funktionsumfang Bei ISMS.online handelt es sich um den Policy Pack-Dienst, der es ISMS-Administratoren ermöglicht, die Einhaltung der Richtlinien und Kontrollen für alle Beteiligten nachzuweisen. Dieser innovative Service bietet in Verbindung mit dem ISMS-Übersichtsbericht (weiter unten) und den allgemeinen Funktionen für die Gruppenzusammenarbeit viele kostensparende, risikomindernde und andere Vorteile.

• Erstellung von Richtlinien und Kontrollen einmalig, ermöglicht aber eine einfache Verteilung an Zielgruppen (z. B. nach Abteilung, Standort, Rolle, Produkt usw.)
• die Möglichkeit, zu jedem Zeitpunkt dynamisch zu sehen, wie Richtlinien gelesen und eingehalten werden
• die Fähigkeit, Bereiche möglicher Nichteinhaltung schnell und einfach zu erkennen und zu beheben – wobei die Aufmerksamkeit auf die größten Risiken gerichtet wird und keine Prüfungszeit oder andere begrenzte Ressourcen verschwendet werden
• die Fähigkeit, externen Prüfern, leistungsstarken Endkunden und der Geschäftsleitung zu zeigen, dass sie die Kontrolle über das gesamte ISMS haben, von der Identifizierung des Informationsvermögens über seine Risikobewertung, die darauf angewendeten Kontrollen und die Zielgruppe(n) bis hin zu denen, auf die die Richtlinien angewendet werden – Alle wichtigen Aspekte zur Einhaltung der ISMS-Anforderungen für ISO 27001

Für fortgeschrittenere Benutzer, die die Beziehung zwischen Informationsbeständen, Risiken, Kontrollen und der Kommunikation der Richtlinien an die Benutzer durch Richtlinienpakete sehen möchten, bietet der ISMS-Übersichtsbericht genau das. Es zeigt umfassendes Vertrauen und hilft dabei, Lücken, Probleme oder Verschwendung schnell zu isolieren, die über die aussagekräftige Anwendbarkeitserklärung hinausgehen, die für ISO 27001 Abschnitt 6.1.3 erforderlich ist.

Informationssicherheitskommunikation an Mitarbeiter, Lieferanten und andere Interessengruppen, die einbezogen werden und die Einhaltung von ISO 27001 nachweisen müssen

Es ist großartig, wenn leistungsstarke Informationssicherheitsmanagementsysteme gut funktionieren, damit das ISMS-Management und die Administratoren ihre Ziele erreichen können. Der ISMS-Lösungen müssen auch für gelegentliche Benutzer gut funktionieren, die ihre Richtlinien verstehen und einhalten, wissen müssen, was vor sich geht, an Diskussionen teilnehmen, Vorfälle melden und auf Aufgaben reagieren müssen. Genau das bietet ISMS.online: die Möglichkeit, diese wichtigen Stakeholder in einem dynamischen, aber gelegentlichen Zugriffsmodell konform zu halten und einzubeziehen.

Die Mitarbeiter können ihre Informationssicherheitsrichtlinien (und andere Richtlinien) in einem Kindle-ähnlichen Leseerlebnis lesen und einhalten, ohne jeglichen Lärm von den Fachteilen des ISMS. Sie können ihren Lesefortschritt und ihre Compliance beim Abschluss der Arbeit leicht anzeigen. Dadurch wird auch die oben genannte Verwaltungskonsole dynamisch aktualisiert. Wenn eine Richtlinie aktualisiert wird, kann der Administrator dies einfach allen Lesern mitteilen und sie darauf aufmerksam machen.

Zusätzlich zum Policy Pack-Service bietet ISMS online eine Reihe von Möglichkeiten, um die Kommunikation und das Engagement der Mitarbeiter sicherzustellen, einschließlich ISMS-Kommunikationsgruppen, die sich hervorragend dazu eignen, Aktualisierungen zu verbreiten, an Diskussionen teilzunehmen, Aufgaben per E-Mail-Benachrichtigungen zuzuweisen und den Nachweis dafür zu erbringen an Prüfer weitergeben und das Wissen für neue Mitarbeiter und andere, die in Zukunft beschäftigt werden müssen, behalten. Diese Anforderungen sind mit einigen der traditionelleren Kommunikations- und Messenger-Produkte auf dem Markt oder mit E-Mail allein nicht so einfach zu erfüllen. Über diese Kerndienste von Gruppen und Richtlinienpaketen hinaus machen viele andere Funktionen auf der Plattform den gesamten Kommunikationsprozess zu einem umfassenderen, integrierteren Erlebnis.

Lassen Sie sich mit ISMS.online bis zu 5x schneller zertifizieren

Compliance muss nicht kompliziert sein – ISMS.online soll Ihnen dabei helfen, die ISO 27001-Zertifizierung schnell und kostengünstig zu erreichen, ohne dass eine Schulung erforderlich ist.
Wir haben den ISO 27001-Prozess mit unserer Assured Results Method, einem Vorsprung von 80 %, Ihrem eigenen virtuellen Coach rund um die Uhr, einfachem Onboarding und Expertensupport optimiert.

Buchen Sie eine Plattformdemo, um zu sehen, wie ISMS.online Ihrem Unternehmen helfen kann