Провеждането на преглед от ръковоството е дейност характерна за всяка една система за управление, включително и за системата за управление на сигурността на информацията /СУСИ/. Практиката показва, че голяма част от организациите не разбират смисъла и ползите от прегледа и обикновено го правят, защото се изисква от стандартите и от одиторите.
Каква е целта на прегледа от ръководството?
Целта на прегледа е да се анализира функционирането на СУСИ и да се вземат важни решения, които имат отношения към нея. Обикновено решенията са свързани с увеличаване на бюджета за информационна сигурност, а това са решения които се вземат само от ръководството на организацията и прегледът е точното място за това. Прегледът от ръководството дава чудесна възможност на ръководството да участва активно в СУСИ и се провежда под формата на работна среща.
Изисквания
Изискванията по отношение на провеждане на прегледа от ръководството са описани в т.9.3 от ISO/IEC 27001:2022 и са насочени към определяне на периодичността на провеждане, какви входни елементи да бъдат разглеждани и какво се очаква като изходни елементи от прегледа.
Периодичност
Според изискванията на стандарта, организацията трябва да провежда прегледи от ръководството през планирани интервали от време. На практика, прегледа се провежда минимум веднъж годишно или по-често, в случай на сериозни промени, които могат да повлияят на СУСИ или при по-висока ангажираност на ръководството с оперативната работа на СУСИ.
Входни елементи
По време на прегледа се разглеждат теми, свързани със сигурността на информацията, като стандартът поставя изискване за обсъждане на следните въпроси:
- състояние на действията от предишни прегледи от ръководството;
- промени в контекста на организацията – вътрешен и външен;
- промени в потребностите и очакванията на заинтересованите страни;
- обратна информация за работата на СУСИ – констатирани през годината несъответствия и резултати от коригиращи действия, наблюдение и измерване, резултати от одити, изпълнение на целите;
- обратна информация от заинтересовани страни;
- резултати от оценяване на риска и състояние на плана за въздействие върху риска;
- предложения за подобряване на СУСИ.
Входните елементи съдържат голямо количество информация за функционирането на СУСИ, която е необходимо предварително да се подготви. Обикновено подготовката се извършва от лицето, което отговаря за СУСИ, но в по-големи организации, част от информацията се подготвя от съответните ръководители на отдели. Важно е информацията да е представена по разбираем начин, който да помогне на ръководството при вземането на решения.
Изходни елементи
На базата на представената информация по изброените по-горе елементи, ръководството взема решения за подобряване на системата и необходимостта от промени. Това са решения изисквани от стандарта, но по време на прегледа могат да се вземат решения и по други въпроси, свързани със сигурността на информацията. Това е прекрасна възможност за обсъждане на стратегии и проблеми, свързани със сигурността на информацията и получаване на подкрепа за тяхното разрешаване. Можете да използвате изискването на ISO/IEC 27001 не само за постигане на съответствие, но и за изграждане на връзка с лицата, вземащи решения.
Освен това, стандартът поставя изискване за документиране на резултатите от прегледа от ръководството. В повечето случаи, информацията за резултатите от прегледа се документира в протокол от среща, в който се описва кратка информация за разгледаните въпроси и взетите решения. В по-големите организации, прегледът от ръководството се провежда по-формално – съгласно правила определени в процедура.
Съобщаване на резултатите
Информацията за решенията от прегледа може да се съобщи на заинтересованите страни(служители или трети страни) чрез изпращане на имейл или организиране на среща.
0 отговори на "Какво е преглед от ръководството и защо е важен?"