Die ISO 27001 ist ein internationaler Standard, der Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt. Ein ISMS ist dabei eine Reihe von Richtlinien und Verfahren, die entwickelt werden, um die Informationswerte einer Organisation zu schützen.
Klausel 4.2 der ISO 27001 verlangt von Organisationen, die "Bedürfnisse und Erwartungen der interessierten Parteien zu verstehen". Dabei werden interessierte Parteien als "Personen oder Organisationen, die von den Aktivitäten der Organisation beeinflusst werden können, von ihnen beeinflusst werden oder sich selbst als von den Aktivitäten der Organisation betroffen wahrnehmen" definiert.
Die Organisation muss bestimmen:
a) Interessierte Parteien, die für das Informationssicherheits-Managementsystem relevant sind
b) Die Anforderungen dieser interessierten Parteien
c) Welche dieser Anforderungen durch das Informationssicherheits-Managementsystem behandelt werden.
Durch das Verständnis der Bedürfnisse und Erwartungen der interessierten Parteien können Organisationen ein ISMS entwickeln, das effektiver ist und so die Bedürfnisse aller Stakeholder erfüllt.
Wer sind interessierte Parteien?
Interessierte Parteien können in folgende Kategorien eingeteilt werden:
- Kunden
- Mitarbeiter
- Aktionäre
- Lieferanten
- Regulierungsbehörden
- Die Öffentlichkeit
Bei der Identifizierung interessierter Parteien ist es wichtig, eine breite Palette von Interessengruppen zu berücksichtigen. Es ist auch wichtig, sich der unterschiedlichen Arten von Bedürfnissen und Erwartungen bewusst zu sein, die interessierte Parteien haben können.
Zum Beispiel könnten Kunden Anforderungen bezüglich der Vertraulichkeit, Sicherheit und Zugänglichkeit ihrer Daten haben. Mitarbeiter könnten besorgt sein, ihre persönlichen Informationen zu schützen. Aktionäre könnten sich auf die finanzielle Stabilität der Organisation konzentrieren.