В съответствие с общата стуктура на стандартите за системи за управление, т.4.1 от ISO/IEC 27001:2022 изисква да се определи контекста на организацията. Предвид факта, че в стандарта не е дадена допълнителна информация, някои организации я пренебрегват, защото за тях е твърде неясна. За да даде насоки, стандарт ISO/IEC 27001:2022 прави препратка към т.5.4.1 от ISO 31000.
Защо е важно разбирането на контекста?
Контекстът на организацията включва разглеждането на вътрешни и външни обстоятелства, които са свързани с постигането на поставените цели, или по друг начин казано – какво трябва да вземе предвид организацията по отношение на сигурността на информацията, за да постигне своите цели?
Познаването на контекста на организацията дава ясна представа за средата, рисковете и възможностите по отношение на сигурността на информацията. Това позволява на организацията да формулира правилно целите на СУСИ и да определи стратегията за тяхното постигане.
За да стане ясно какво включва контекста на организацията нека погледнем препратката към ISO 31000. Съгласно т.5.4.1 от стандарта, за да разработи рамката за управление на риска, организацията трябва да разбере какви са вътрешните и външните обстоятелства на нейния контекст.
Външни обстоятелства
Като примери за външни обстоятелства се посочват:
- различни външни фактори, които оказват влияние върху организацията като социални, културни, политически, икономически, технологични и др. Например тенденции в политиката, революционни технологии и иновации, които от своя страна предоставят нови възможности и начини на защита;
- тенденции, които засягат целите на организацията, като такъв тип тенденция може да се посочи увеличаването на използването на облачни услуги;
- начините на взаимодействие с външните заинтересовани страни предвид техните възприятия, ценности, потребности и очаквания;
- приложими законови изисквания като например GDPR;
- договорните отношения и ангажименти и др.
ISO 31000 предоставя примери и обща рамка, която да помогне в разбирането на външните обстоятелства. Съществуват и други методи като PEST анализ, който дава възможност за извършването на по-подробен и структуриран анализ на външните обстоятелства на средата.
Вътрешни обстоятелства
Примери за вътрешни обстоятелства:
- визия, мисия и ценности на организацията. Всяка организация има различен поглед за това какво прави, какво иска да постигне и по какъв начин. Това дава своето отражение при планиране и управление на СУСИ;
- начин на управление, организационна структура, роли и отговорности в организацията, взаимоотношения с вътрешни заинтересовани страни. Познаването на особеностите позволяват на организацията правилно да позиционира СУСИ и да разпредели свързаните с нея роли и отговорности;
- стратегии, цели, политика и култура на организацията;
- дейности на организацията, взаимозависимости и взаимовръзки. Информацията за функционирането и взаимодействието на процесите ще улесни интегрирането на процесите на СУСИ и контролите в бизнес процесите на организацията;
- налични ресурси и знания. Информацията за наличните ресурси като капитал, време, хора, интелектуална собственост, процеси, системи, технологии ще помогне за планиране на дейностите и за определяне на необходимостта от нови ресурси и знания;
- данни, информационни системи и информационни потоци и др.
За извършването на по-задълбочен анализ на вътрешните обстоятелства, можете да използвате 7S анализ, който включва оценка на стратегия, структура, системи, споделени ценности, умения, стил и персонал.
Документиране на контекста
Точка 4.1 от ISO/IEC 27001:2022 не поставя изрично изискване за документиране на информацията относно контекста на организацията. Въпреки това, част от информацията е необходима и се изисква от други точки на стандарта като например: цели, рискове, роли и отговорности, компетентност на персонала, приложими изисквания на законови, нормативни, регулаторни и договорни изисквания и др.
По-големите организации извършват анализ на средата, използвайки един или друг метод(SWOT, PEST, 7S и др.), информацията от които трябва да се използва при разработване, внедряване и поддържане на СУСИ. При по-малките организации, собствениците със сигурност разсъждават по описаните по-горе обстоятелства, когато планират как да се конкурират на пазара. Основният проблем при тях е споделянето на тази информация със служителите, отговарящи за СУСИ.
Разбирането на контекста на организацията позволява внедряването и поддържането на стабилна СУСИ, която гарантира управление на риска, минимизиране появата на инциденти и максимално използване на възможностите.
0 отговори на "Как да определим контекста на организацията съгласно ISO/IEC 27001?"