Skip to main content

5.35 Niezależny przegląd bezpieczeństwa informacji

Cel

Zapewnienie, że podejście organizacji do zarządzania bezpieczeństwem informacji, w tym polityki, procesy i technologie, jest regularnie oceniane pod kątem skuteczności, adekwatności i zgodności z wymaganiami organizacyjnymi oraz regulacyjnymi.

Wymagania

Organizacja powinna:

  • Planować i przeprowadzać niezależne przeglądy zarządzania bezpieczeństwem informacji w określonych odstępach czasu lub w przypadku istotnych zmian w organizacji.
  • Wdrożyć procesy umożliwiające ocenę:
    • polityki bezpieczeństwa informacji i związanych z nią polityk szczegółowych,
    • skuteczności wdrożonych środków kontroli bezpieczeństwa,
    • możliwości poprawy podejścia do zarządzania bezpieczeństwem informacji.
  • Zapewnić, że przeglądy są przeprowadzane przez osoby niezależne od obszaru podlegającego ocenie (np. audyt wewnętrzny, niezależny menedżer lub zewnętrzna organizacja audytowa).
  • Zapewnić, że osoby dokonujące przeglądów posiadają odpowiednie kompetencje i nie podlegają strukturze zarządzania obszaru, który jest oceniany.

Wdrożenie

  • Organizacja powinna przeprowadzać niezależne przeglądy w następujących przypadkach:
    • regularne, zaplanowane audyty w określonych przedziałach czasu,
    • zmiany w przepisach prawnych i regulacjach mających wpływ na organizację,
    • wystąpienie poważnych incydentów bezpieczeństwa informacji,
    • rozpoczęcie nowej działalności lub zmiany w istniejącej działalności,
    • wdrożenie nowych produktów lub usług lub znaczące zmiany w istniejących,
    • istotne zmiany w kontrolach i procedurach bezpieczeństwa.
  • Wyniki przeglądów powinny być dokumentowane i raportowane do zarządu oraz, jeśli to właściwe, do najwyższego kierownictwa.
  • Organizacja powinna podejmować działania korygujące, jeśli przegląd wykaże, że aktualne podejście do zarządzania bezpieczeństwem informacji jest niewystarczające lub niezgodne z polityką organizacji.

Przegląd i aktualizacja

  • Regularnie weryfikować skuteczność procesu przeglądów niezależnych i dostosowywać go do zmieniających się potrzeb organizacyjnych i regulacyjnych.
  • Monitorować wdrażanie działań korygujących wynikających z przeglądów i analizować ich skuteczność.
  • Zapewnić, że przeglądy są częścią strategii ciągłego doskonalenia zarządzania bezpieczeństwem informacji.

Niezależne przeglądy bezpieczeństwa informacji pomagają organizacji identyfikować luki w zabezpieczeniach, dostosowywać politykę bezpieczeństwa do zmieniającego się środowiska oraz utrzymywać wysoki poziom zgodności i skuteczności środków ochrony.