Điều gì liên quan đến yêu cầu 5.3 của ISO 27001?

  1. Home /
    2. An toàn Thông tin /
  2. Điều gì liên quan đến yêu cầu 5.3 của ISO 27001?
Điều gì liên quan đến yêu cầu 5.3 của ISO 27001?
An toàn Thông tin Hệ thống Quản lý

Điều gì liên quan đến yêu cầu 5.3 của ISO 27001?

Điều gì liên quan đến yêu cầu 5.3 ISMS

Điều khoản này là tất cả về lãnh đạo cao nhất đảm bảo rằng vai trò, trách nhiệm và quyền hạn rõ ràng đối với HTQL ATTT. Điều này không có nghĩa là tổ chức cần phải đi và bổ nhiệm một số nhân viên mới hoặc thiết kế kỹ lưỡng các nguồn lực liên quan – đó là một kỳ vọng thường bị hiểu nhầm khiến các tổ chức nhỏ hơn không đạt được tiêu chuẩn.

Rất đơn giản, ISO 27001 đang tìm kiếm sự rõ ràng và tập trung vào các phần quan trọng của ISMS. Người chịu trách nhiệm tổng thể, chịu trách nhiệm về các phần nhất định. Hoặc tất cả các hoạt động kinh doanh tốt và hợp lý. Bạn cần chứng minh rằng một số vai trò nhất định, đã được chỉ định bởi lãnh đạo cấp cao nhất. Và chúng được thông báo cho các bên quan tâm có liên quan. Và được lập thành văn bản rõ ràng để không có sự mơ hồ.

Điều khoản 5.3 của tiêu chuẩn ISO 27001

Yêu cầu của 5.3 trong ISMS

Yêu cầu ở đây là mức độ khá cao và dễ lập thành tài liệu, đồng thời phù hợp với các phần khác của hệ thống quản lý an toàn thông tin, ví dụ: chủ sở hữu rủi ro an toàn trong 6.1, chủ sở hữu mục tiêu an toàn thông tin trong 6.2, v.v.

HQC Consulting cũng làm cho phần lớn quyền sở hữu và tham gia ISMS dễ dàng trong thực tế với các thành viên nhóm cộng tác, chủ sở hữu hoạt động chính sách, chủ sở hữu rủi ro, sự cố, cải tiến, v.v. – tất cả đều có thể đi xuống từ sự rõ ràng của lãnh đạo cao nhất trong điều khoản 5.3 này.

Vì vậy, một cá nhân có thể làm nhiều hơn một vai trò và bạn có thể thống nhất công việc, ví dụ: bằng cách có một ban quản lý giám sát mọi thứ để giúp chứng minh các xem xét của lãnh đạo phù hợp với 9.3 và tham gia hoàn toàn vào hệ thống quản lý an ninh thông tin. Chỉ cần làm rõ ai chịu trách nhiệm về những gì. Hãy suy nghĩ về các vai trò với các bên quan tâm cũng như việc phân phối thực tế. Ví dụ: vai trò của CISO (Giám đốc An ninh Thông tin) có thể ngụ ý với khách hàng của bạn rằng bạn rất coi trọng vấn đề bảo mật thông tin. Và điều đó có thể được thực hiện bởi một giám đốc điều hành cấp cao ngoài công việc hàng ngày của họ. Hoặc nếu trong một tổ chức lớn hơn thì đó có thể là toàn thời gian theo đúng nghĩa của nó.

Ví dụ triển khai điều khoản 5.3 ISMS

Bạn cũng có thể chọn có một TISO (Cán bộ bảo mật thông tin kỹ thuật) hoặc tương đương. Người sẽ có kỹ thuật hơn và có thể tập trung vào các khía cạnh đó của ISMS. Nếu các vai trò khác được giao bởi nhiều cá nhân thương mại / chiến lược hơn. Xem Phụ lục A 6.1.1 (về tổ chức an toàn thông tin). Và đảm bảo rằng bạn phù hợp với yêu cầu kiểm soát của Phụ lục A đó.

ISO 27001 đặc biệt tìm kiếm sự rõ ràng về vai trò và trách nhiệm đối với:

Đảm bảo HTQL ATTT tin phù hợp với các yêu cầu của Tổ chức tiêu chuẩn hóa quốc tế

Báo cáo hiệu suất của ISMS (dễ dàng hơn nhiều khi tất cả ở cùng một nơi)

Có thể là một giám đốc điều hành cấp cao có trách nhiệm giải trình đối với ISMS. Như một phần của cam kết lãnh đạo về bảo mật thông tin (5.1). Nhưng tất nhiên có thể ủy thác việc điều hành nó cho những người khác trong tổ chức hoặc thuê ngoài cho các bên chuyên gia như ảo CISO, mà nhiều đối tác HQC Consulting cung cấp dịch vụ. Chỉ cần nhớ để tài liệu nó!

Xem thêm:

  1. Hệ thống Quản lý Kinh doanh Liên tục là gì ? tại LINK
  2. Tư vấn HTQLCL ISO 27001
  3. Lợi ích của ISO 27001 đối với doanh nghiệp.
  4. Chứng nhận hệ thống quản lý chất lượng ISO 27001

CÔNG TY TNHH TƯ VẤN ĐÀO TẠO HQC

  • Điện thoại: 0944659937
  • Địa chỉ trụ sở: Tầng 3, Số 96 Cao Thắng, Phường 04, Quận 3. Thành phố Hồ Chí Minh, Việt Nam
  • Email: admin@hqc-company.com

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

shares
error: Content is protected !!