Exigence 27001 de la norme ISO 7.4 – Communication

Qu’implique l’article 7.4 ?

Comme pour d'autres parties du SMSI, il existe des opportunités de s'associer et de démontrer le système de gestion de la sécurité de l'information, en particulier ses exigences de communication sont une partie intégrée et cohérente des processus de communication, d'éducation, de formation et de sensibilisation de l'organisation.

Cette clause 7.4 concorde également avec l'annexe A 7 pour la sécurité des ressources humaines, où les exigences en matière de communication commencent par l'enquête de sécurité des RH, se poursuivent dans les conditions de sécurité de l'information pour les contrats de travail, les processus disciplinaires et après les changements de rôle ou la sortie. L'intégration la plus importante pour la sécurité des ressources humaines se situe dans A 7.2.2, où il existe un contrôle pour la sensibilisation, l'éducation et la formation à la sécurité de l'information.

L'ISO 27001 recherche les éléments suivants dans cette clause :

• que communiquer sur le SMSI
• quand cela sera communiqué
• qui sera partie à cette communication
• qui fait la communication
• comment tout cela se produit, c'est-à-dire quels systèmes et processus seront utilisés pour démontrer que cela se produit et est efficace

Plus précisément, le contrôle ISO 27001 : 2013 A.7.2.2 exige que : « Tous les employés de l'organisation et, le cas échéant, les sous-traitants doivent recevoir une sensibilisation et une formation appropriées ainsi que des mises à jour régulières des politiques et procédures organisationnelles, en fonction de leur fonction. »

Ce contrôle, combiné à l'exigence de la clause 7.4 des principales exigences ISO 27001 visant à démontrer « comment » et dans quelle mesure la communication est efficace, ainsi qu'à la nécessité pour la haute direction de protéger réellement son organisation et non de se contenter de cocher une case, signifie qu'un contrôle dynamique et assuré une communication pour assurer la confiance dans la conformité est nécessaire.

Qui doit être pris en compte dans les communications et qui est susceptible de les intéresser ?

Le point de départ devrait être le travail effectué en 4.2, en examinant les parties intéressées et en regardant en arrière pour comprendre leurs besoins et exigences en matière de communication, ce qui correspondrait évidemment à leur position sur la carte des parties prenantes et aux problèmes et préoccupations sous-jacents qu'elles avaient. avoir sur ses performances. Comme auparavant, une solution unique ne conviendra pas à tous en termes de quoi, pourquoi et comment les communications ont lieu. Par exemple, une partie intéressée « rester satisfaite » comme le commissaire à l'information du Royaume-Uni pour avoir démontré sa conformité à la loi sur la protection des données et au RGPD ne voudra savoir que deux choses : a) êtes-vous enregistré en tant que contrôleur de données et/ou sous-traitant ; et b) lorsque vous avez subi un incident de sécurité qui entraîne des pertes ou des conséquences potentielles, cela relève de leur champ d'intérêt.

Les autres parties prenantes toujours satisfaites seront probablement des clients puissants, ainsi que des auditeurs externes pour la norme ISO 27001, en particulier si une certification UKAS indépendante ou une certification similaire est envisagée. Ils veulent avoir l’assurance que le SMSI fonctionne bien et bénéficier de l’assurance régulière des informations provenant des audits de surveillance et peut-être du droit d’audit au moment de leur choix, ainsi que d’être tenus informés des changements ou incidents importants.

Les acteurs clés et les parties prenantes informées, telles que la haute direction, le personnel ou les fournisseurs étroitement impliqués qui accédaient à vos informations les plus précieuses, doivent être engagés et informés de bien plus sur le système de gestion de la sécurité de l'information.

Les éléments à prendre en compte ici comprennent :

• Ce que la sécurité de l'information signifie pour l'organisation et ses avantages ainsi que ses conséquences
• Connaissance des termes linguistiques clés et des exemples de bonne et mauvaise confidentialité, intégrité et disponibilité qui sont significatifs pour eux
• Les politiques et contrôles de sécurité des informations de l'organisation qui affectent leur travail et ceux qui travaillent autour d'eux
• Que faire en cas d'incident, d'événement ou de faiblesse qu'ils sont les premiers à identifier
• Que faire lorsque quelque chose s'est produit ailleurs dans l'organisation et qu'ils doivent prendre des mesures pour rester protégés
• Mises à jour générales et communications dynamiques pertinentes pour leur rôle (au-delà des politiques et des contrôles)

Assurer la communication et la conformité pour le succès de la norme ISO 27001

Même si un auditeur externe entreprenant la certification ISO 27001 recherchera attentivement les preuves des communications ci-dessus, le problème commercial le plus important réside davantage dans le fait que les parties prenantes ne sont pas au courant ou ne se conforment pas aux communications. Cela pourrait rapidement conduire à un grave incident de sécurité des informations et à des pertes importantes, en particulier s'il s'agit de données personnelles pour lesquelles des amendes RGPD et des dommages importants à la réputation étaient envisagés.

Il est probable que la plupart des organisations disposent déjà de canaux de communication ; travail en face à face, journées d'équipe, courrier électronique, intranet et autres moyens d'engagement du personnel. Nous recommandons que tous ces éléments soient pris en compte si ces habitudes sont bien développées pour le personnel et qu'il y répondra. Cependant, lorsque vous recevez déjà trop d'e-mails et que vous vous perdez dans les téléconférences d'équipe, les communications passionnantes du SMSI parviendront-elles à point et fourniront-elles le résultat dont vous avez besoin ?

Le défi pour la plupart des organisations est l’incapacité de prouver de manière rentable que la communication a eu lieu et que la conformité est assurée tout au long de la chaîne d’approvisionnement interne et externe des principales parties prenantes. Les audits internes conformément à la clause 9.2 sont d'une grande aide dans ce sens, mais ils sont généralement peu fréquents et très coûteux pour tout autre chose que les audits sur échantillon et ne suivent généralement pas le rythme de l'évolution rapide des risques de sécurité de l'information et en particulier des problèmes de cybersécurité.

Les auditeurs examinent désormais de plus près ces domaines de communication étant donné les conséquences croissantes des échecs. Les clients et les actionnaires avisés accordent également beaucoup plus d'attention au-delà du certificat ISO, au-delà de la déclaration d'applicabilité et de la portée, aux exigences d'une surveillance plus dynamique des mises à jour de sécurité des informations et de l'assurance de la conformité. La conformité basée sur les personnes s'oriente de plus en plus vers la technologie et la surveillance des systèmes numériques déjà observées dans les services de surveillance en temps réel des pare-feux et des antivirus.

Comment ISMS.online aide à la communication ISMS

En son cœur, ISMS.online est une plate-forme de communication et de collaboration qui lui permet de prendre une bonne longueur d'avance sur les systèmes d'enregistrement statiques à l'ancienne qui étaient autrefois populaires pour les systèmes de type ISMS et de gouvernance, de réglementation et de conformité (GRC). Il distribue également des informations par courrier électronique aux utilisateurs finaux, ce qui est idéal pour des mises à jour et une sensibilisation simples, de sorte qu'il s'intègre dans cette manière de communiquer basée sur les habitudes. Tout ce qui est requis pour un travail de conformité plus détaillé, comme des preuves, un engagement à faire quelque chose, par exemple lire une politique, ramène les utilisateurs sur la plate-forme où la piste d'audit médico-légale et les preuves impressionnent les auditeurs et font gagner énormément de temps aux administrateurs du SMSI, qui à leur tour peuvent communiquer avec confiance à la haute direction.

La plateforme sert très bien les différents groupes de parties prenantes grâce à sa facilité d'utilisation et à ses espaces de travail ciblés qui sont tous vérifiables et fondés sur des preuves, conformément aux exigences de la norme.

Assurer la confiance en matière de communication pour les clients puissants, la haute direction et les auditeurs externes

Spécialement développé en étroite collaboration avec les utilisateurs finaux, une grande partie du jeu de fonctionnalités dans ISMS.online se trouve le service Policy Pack qui permet aux administrateurs ISMS de démontrer la conformité des politiques et des contrôles pour toutes les personnes concernées. Ce service innovant, associé au rapport de synthèse ISMS (ci-dessous) et aux fonctionnalités générales de collaboration des groupes, offre de nombreux avantages en matière d'économies de coûts, de réduction des risques et autres.

• production de politiques et de contrôles une seule fois, mais permet une distribution facile aux groupes ciblés (par exemple par département, emplacement, rôle, produit, etc.)
• la possibilité de voir les politiques lues et respectées de manière dynamique à tout moment
• la capacité de repérer et de traiter les domaines de non-conformité possibles rapidement et facilement – ​​en concentrant l'attention sur les risques les plus élevés et en ne perdant pas de temps d'audit ou d'autres ressources limitées
• la capacité de montrer aux auditeurs externes, aux clients finaux puissants et à la haute direction qu'ils contrôlent l'ensemble du SMSI depuis l'identification de l'actif informationnel, son évaluation des risques, les contrôles qui lui sont appliqués et le ou les publics auxquels les politiques sont appliquées – tous les aspects clés de la conformité aux exigences ISMS pour la norme ISO 27001

Pour les utilisateurs plus avancés qui souhaitent voir la relation entre les actifs informationnels, les risques, les contrôles et la communication des politiques aux utilisateurs par les packs de politiques, le rapport de présentation du SMSI fait exactement cela. Il montre une confiance de bout en bout et permet d'isoler rapidement les lacunes, les problèmes ou les gaspillages au-delà de la puissante déclaration d'applicabilité requise pour la clause 27001 de la norme ISO 6.1.3.

Communications sur la sécurité des informations avec le personnel, les fournisseurs et les autres parties prenantes qui doivent être engagés et démontrer leur conformité à la norme ISO 27001.

Il est idéal que de puissants systèmes de gestion de la sécurité de l'information fonctionnent bien pour que la direction et les administrateurs du SMSI atteignent leurs objectifs. Le Solutions SMSI doivent également bien fonctionner pour les utilisateurs occasionnels qui ont besoin de comprendre et de respecter leurs politiques, d'être conscients de ce qui se passe, de participer aux discussions, de signaler des incidents et de répondre aux tâches. C'est exactement ce qu'offre ISMS.online, une capacité à maintenir ces parties prenantes importantes conformes et engagées dans un modèle d'accès dynamique mais occasionnel.

Le personnel peut lire et se conformer à ses politiques de sécurité des informations (et autres) dans une expérience de lecture de type Kindle, dépourvue de tout bruit provenant des parties spécialisées du SMSI. Ils peuvent facilement montrer leurs progrès en lecture et leur conformité au fur et à mesure qu’ils terminent le travail. Cela met également à jour dynamiquement la console d'administration ci-dessus. Lorsqu'une politique est mise à jour, l'administrateur peut simplement la transmettre à tous les lecteurs et la porter à leur attention.

En plus du service Policy Pack, ISMS en ligne offre un certain nombre de moyens d'assurer la communication et l'engagement du personnel, y compris les groupes de communication ISMS, qui sont parfaits pour diffuser des mises à jour, engager des discussions, attribuer des tâches via des notifications par courrier électronique et en montrer la preuve. aux auditeurs ainsi que de conserver les connaissances des nouvelles recrues et des autres personnes qui devront être engagées à l'avenir. Ces exigences ne sont pas si simples avec certains des produits de communication et de messagerie les plus traditionnels du marché ou avec le courrier électronique seul. Au-delà de ces services de base de groupes et de packs de politiques, de nombreuses autres fonctionnalités de la plateforme font également de l'ensemble du processus de communication une expérience plus riche et plus intégrée.

Obtenez une certification jusqu'à 5 fois plus rapidement avec ISMS.online

La conformité n'a pas besoin d'être compliquée : ISMS.online est conçu pour vous aider à obtenir la certification ISO 27001 rapidement et à moindre coût, sans aucune formation requise.
Nous avons rationalisé le processus ISO 27001 avec notre méthode de résultats garantis, une longueur d'avance de 80 %, votre propre coach virtuel 24h/7 et XNUMXj/XNUMX, une intégration facile et une assistance experte.

Réservez une démo de plateforme pour voir comment ISMS.online peut aider votre entreprise