5.36 Zgodność z politykami, zasadami i standardami bezpieczeństwa informacji

Cel

Zapewnienie, że bezpieczeństwo informacji jest wdrażane i zarządzane zgodnie z polityką bezpieczeństwa organizacji, politykami szczegółowymi, zasadami i standardami.

Wymagania

Organizacja powinna:

• Regularnie przeglądać zgodność działań z polityką bezpieczeństwa informacji oraz powiązanymi zasadami i standardami.
• Wdrożyć mechanizmy monitorowania i raportowania zgodności, w tym automatyczne narzędzia do pomiaru i analizy.
• Określić odpowiedzialność menedżerów, właścicieli usług, produktów i informacji za weryfikację zgodności w ich obszarach działania.

Wdrożenie

• W przypadku wykrycia niezgodności organizacja powinna:
  • zidentyfikować przyczyny niezgodności,
  • ocenić konieczność wdrożenia działań korygujących,
  • wdrożyć odpowiednie środki naprawcze,
  • przeprowadzić przegląd skuteczności wdrożonych działań i zidentyfikować potencjalne luki.
• Wyniki przeglądów i wdrożonych działań korygujących powinny być dokumentowane i raportowane do osób przeprowadzających niezależne audyty zgodności (zgodnie z 5.35).
• Działania korygujące powinny być realizowane w odpowiednim czasie, zgodnie z poziomem ryzyka.
• Jeśli działania korygujące nie zostaną zakończone przed kolejnym przeglądem, ich postęp powinien być monitorowany i analizowany na tym etapie.

Przegląd i aktualizacja

• Organizacja powinna regularnie analizować skuteczność polityk i standardów bezpieczeństwa informacji oraz wprowadzać konieczne zmiany w celu poprawy zgodności.
• Powinna wdrożyć procesy monitorowania postępów działań korygujących oraz oceniać ich wpływ na poziom bezpieczeństwa organizacji.
• Mechanizmy przeglądu zgodności powinny być dostosowane do zmieniających się regulacji oraz wymagań organizacyjnych.

Skuteczne monitorowanie zgodności z politykami i standardami bezpieczeństwa informacji minimalizuje ryzyko operacyjne, zapewnia zgodność regulacyjną oraz wspiera ciągłe doskonalenie zarządzania bezpieczeństwem informacji.