Analisi delle non conformità nella ISO 27001 - Requisito 5
In comune con tutti gli standard Annex SL, la leadership è fondamentale per il funzionamento di un sistema di gestione di successo. Tutti gli standard Annex SL richiedono che il top management stabilisca le policy e assegni le risorse. Questo non è diverso da quello che farebbe il top management per l'intera organizzazione. È nell'interesse di tutti che il top management conosca bene i requisiti del requisito 5.
Il requisito 5 è il punto in cui l'alta direzione dimostra il proprio impegno nei confronti dell'ISMS, anche se ne ha delegato la gestione. Dimostrare è la parola chiave qui: l'8% delle non conformità (NC) nel requisito 5 derivano dal fatto che i nostri auditor non avevano la certezza che l'alta direzione fosse impegnata nell'ISMS.
Questo di solito succedeva perché la politica dell'ISMS non era approvata dai vertici aziendali, non si rendevano disponibili per l'intervista o, peggio ancora, quando venivano intervistati sapevano poco dell'ISMS.
L'auditor dovrà intervistare il top management e scoprirà se è lui ad essere impegnato nella sicurezza delle informazioni.
Dovrai assicurarti che tutto sia in linea per il colloquio con il top management: il 14% delle NC sono state causate dalla politica ISMS non compatibile con la strategia dell'organizzazione, il che potrebbe suggerire una mancanza di coinvolgimento del top management.
I requisiti 5.1a e 5.2a richiedono entrambe che la politica si adatti all'organizzazione. Avendo già esaminato l'organizzazione ai sensi del requisito 4, l'auditor avrà una buona comprensione dell'organizzazione, di cosa fa e perché lo fa. L'auditor richiederà che l'alta direzione descriva la direzione strategica dell'organizzazione. Sarà ovvio per il nostro auditor se la politica di sicurezza delle informazioni non supporta lo scopo generale dell'organizzazione.
Gli obiettivi di sicurezza delle informazioni non compaiono fino al requisito 6.2, ma ci si aspetta che il tuo top management li conosca. Ciò a sua volta implica che il tuo top management dovrebbe essere a conoscenza della tua valutazione del rischio e dei trattamenti del rischio. Quindi dovrebbero essere in grado di discutere gli obiettivi con autorità.
5.1d dovrebbe essere facile da dimostrare per il top management: le comunicazioni interne e con i fornitori sull'importanza della sicurezza delle informazioni sono un modo per mostrare all'auditor come si soddisfa il requisito. Eppure abbiamo momenti "imbarazzanti" in cui il top management semplicemente non lo sa, di solito perché hanno delegato tutto al manager ISMS.
5.2 Politica
Ci sono alcune inclusioni obbligatorie nella politica che sono elencate in 5.2b, c & d. Eppure il 25% delle NC del requisito 5 si verifica perché quei requisiti mancano dalla politica.
5.3 Ruoli organizzativi, responsabilità e autorità
La mancata assegnazione di ruoli e responsabilità per la sicurezza delle informazioni causa spesso NC. Di solito lo scopriamo quando esaminiamo la documentazione e intervistiamo le persone. Questo a volte è attribuito alla mancata comunicazione della politica, che è anche una causa di NC. È importante non confondere la sicurezza delle informazioni con la gestione dell'ISMS. Il mantra usuale è che, come la salute e la sicurezza, tutti sono responsabili della sicurezza delle informazioni. Anche se, non tutti saranno coinvolti nella gestione dell'ISMS.
A volte una mancanza di impegno di leadership si manifesta in un requisito diverso, ma è direttamente attribuita a un fallimento del requisito 5. Una mancata azione in seguito alla revisione della direzione nel requisito 9 può essere una NC sul requisito 5.1c - garantire che le risorse siano disponibili, o 5.1e - garantire che il sistema di gestione raggiunga i risultati desiderati.
Nel mio prossimo articolo esaminerò i motivi più frequenti per cui si verificano non conformità nel requisito 6.1.
A cura di: Tim Pinnell, NQA Information Security Assurance Manager
