Разбирането на потребностите и очакванията на заинтересованите страни е изискване на т.4.2 от ISO/IEC 27001. Определянето на заинтересованите страни не е сложен процес, когато е ясно какво стои зад понятието заинтересована страна.
Какво е заинтересована страна?
Заинтересованата страна е лице или организацията, които могат да повлияят на СУСИ или да бъдат засегнати от дейностите по сигурност на информацията. Това могат да бъдат собственици, ръководство, акционери, служители, регулаторни и контролни органи, клиенти, доставчици, партньори, правителствени агенции и др.
Как могат да бъдат определени?
т.4.2.а от ISO/IEC 27001:2022 изисква да се определят заинтересованите страни. Тук не става въпрос за всички заинтересовани страни, а само за тези които имат отношение към сигурността на информацията. Добра практика е да се установят важните за бизнеса заинтересовани страни и след това да се прецени, кои от тях имат отношение към сигурността на организацията. Възможно е в организацията да е налична подобен вид информация предвид внедрена система за управление на качеството или друг вид документи като бизнес планове, анализи и др.
Изисквания на заинтересованите страни
Важен момент тук е определянето на изискванията на заинтересованите страни – изискване на т.4.2.b. За целта е необходимо да се разбере какво изискват заинтересованите страни от организацията. Тази информация е необходима, за да може организацията да удовлетвори тези изисквания чрез своята СУСИ.
Примери за изисквания на заинтересовани страни:
- акционери – сигурност на инвестициите, добра възвръщаемост;
- служители – сигурност на личните данни, ясни роли и отговорности;
- клиенти – спазване на клаузите за сигурност в договорите;
- доставчици – спазване на клаузите за сигурност в договорите/споразуменията;
- контролни и регулаторни органи – спазване на приложимите закони, наредби по отношение на сигурността на информацията.
За да има полза от това упражнение е необходимо да се подготви по-конкретна информация за изискванията – кои точно закони и разпоредби и кои клаузи за сигурност.
Примери на закони от българското законодателство:
- закон за защита на класифицираната информация – Обн. ДВ. бр.45 от 30 Април 2002г., последно доп. ДВ. бр.62 от 5 Август 2022г.;
- закон за защита на личните данни – Обн. ДВ. бр.1 от 4 Януари 2002г., последно изм. ДВ. бр.93 от 26 Ноември 2019г.;
- закон за достъп до обществена информация – Обн. ДВ. бр.55 от 7 Юли 2000г., последно изм. ДВ. бр.15 от 22 Февруари 2022г.;
- закон за електронната търговия – Обн. ДВ. бр.51 от 23 Юни 2006г., последно доп. ДВ. бр.53 от 8 Юли 2022г.;
- закон за електронния документ и електронния подпис – Обн. ДВ. бр.34 от 6 Април 2001г., последно изм. ДВ. бр.58 от 23 Юли 2019г.;
- закон за авторското право и сродните му права – Обн. ДВ. бр.56 от 29 Юни 1993г., последно изм. ДВ. бр.98 от 13 Декември 2019г.;
- закон за електронните съобщения – Обн. ДВ. бр.41 от 22 Май 2007г., последно изм. ДВ. бр.32 от 26 Април 2022г. и др.
Информацията за изискванията на заинтересованите страни е необходима, за да може организацията да определи процесите и дейностите в своята СУСИ за тяхното удовлетворяване. За целта е необходимо да се определи кои от тези изисквания имат отношение към СУСИ – ново изискване в ISO/IEC 27001 – т.4.2.c.
Документиране на информацията за заинтересованите страни
Точка 4.2 от ISO/IEC 27001:2022 не поставя изрично изискване за документиране на информацията относно потребностите и очакванията на заинтересованите страни. Въпреки това информацията е необходима за системата във връзка с определяне на рисковете и съответните механизми за контрол, като например А.5.31. Освен това за изпълнение на процеса е необходимо да бъдат разпределени отговорностите за:
- определяне на заинтересованите страни и на техните изисквания;
- актуализиране на информацията за заинтересованите страни;
- спазването на изискванията на заинтересованите страни, които могат да бъдат възложени на различни лица/отдели, като например човешки ресурси относно защита на личните данни, ИТ отдел за спазване на техническите изисквания и др.
В тази връзка информацията може да бъде документирана в отделна политика/процедура, допълнена към съществуваща или представена в друга подходяща за целта форма.
0 отговори на "Как да определим заинтересованите страни съгласно ISO/IEC 27001:2022?"