Übersicht: ISO 27001 Anforderung 7.2

1. Introduction
   
   
2. Was besagt Klausel 7.2 der ISO 27001?
   
   
3. Was fällt unter Klausel 7.2?
   
   
4. Wie lässt sich die Einhaltung von Klausel 7.2 der ISO 27001 nachweisen?
   
   
5. Schlussfolgerung

Informationssicherheit ist für jede Organisation von entscheidender Bedeutung, die ihre Informationswerte wie Daten, geistiges Eigentum und Finanzinformationen schützen möchte. Der ISO 27001-Standard ist ein weltweit anerkannter Rahmen zur Verwaltung der Informationssicherheit und sollte daher die Aufmerksamkeit eines jeden IT-Managers, IT-Leiters und CEOs genießen.

Eine der wichtigsten Anforderungen der ISO 27001 ist, dass Organisationen sicherstellen müssen, dass die Personen, die am ISMS arbeiten, kompetent sind. Das bedeutet, dass sie über das notwendige Wissen, die Fähigkeiten und die Erfahrung verfügen müssen, um ihre Aufgaben effektiv auszuführen.

Klausel 7.2 der ISO 27001 behandelt die Kompetenz des Personals innerhalb der Organisation. Diese Klausel verlangt, dass Unternehmen die notwendigen Kompetenzniveaus für Personen bestimmen, die Tätigkeiten ausführen, die das ISMS beeinflussen.

Die Organisation soll:

1. die notwendige Kompetenz der Personen bestimmen, die Arbeiten unter ihrer Kontrolle ausführen, die ihre Leistung in Bezug auf Informationssicherheit beeinflussen;
   
   
2. sicherstellen, dass diese Personen auf der Grundlage angemessener Ausbildung, Schulung oder Erfahrung kompetent sind;
   
   
3. gegebenenfalls Maßnahmen ergreifen, um die notwendige Kompetenz zu erlangen, und die Wirksamkeit der ergriffenen Maßnahmen bewerten; und
   
   
4. angemessene dokumentierte Informationen als Nachweis für die Kompetenz aufbewahren.

Was ist Klausel 7.2 der ISO 27001?

Klausel 7.2 der ISO 27001 verlangt von Organisationen, die notwendigen Kompetenzniveaus für Personen zu bestimmen, die Tätigkeiten ausführen, die sich auf das Informationssicherheits-Managementsystem (ISMS) auswirken. Diese Klausel hebt die Notwendigkeit hervor, sicherzustellen, dass die Personen in Ihrer Organisation über das richtige Wissen, die erforderlichen Fähigkeiten und die entsprechende Erfahrung verfügen, um aktiv dazu beizutragen, Ihre Informationen sicher zu halten.

Denken Sie daran, dass die Schaffung und Verwaltung eines ISMS in der Regel eine gemeinsame Teamarbeit erfordert. Der Schlüssel liegt darin, das Wesen der Organisation, ihre Mission, Ziele, Kultur, Risikotoleranz und die Bestimmungen in den Klauseln 4.1, 4.2, 4.3, 6.1 und 6.2 zu erfassen.

Was wird unter ISO 27001 Klausel 7.2 abgedeckt?

• Die Organisation wird sicherstellen, dass sie die Kompetenz der Personen bestimmt hat, die an der Arbeit am ISMS beteiligt sind und die dessen Leistung beeinflussen könnten.
  
  
• Die Personen gelten als kompetent auf der Grundlage der relevanten Ausbildung, Schulung oder Erfahrung.
  
  
• Wenn erforderlich, wird die Organisation Maßnahmen ergreifen, um die notwendige Kompetenz zu erlangen, und die Wirksamkeit der getroffenen Maßnahmen bewerten.
  
  
• Die Organisation wird Nachweise für das oben Genannte zu Prüfungszwecken aufbewahren.

Wie kann die Einhaltung von Klausel 7.2 der ISO 27001 nachgewiesen werden?

• Führen Sie eine Kompetenzüberprüfung durch, um das erforderliche Wissen, die Fähigkeiten und die Erfahrung für jede Rolle im ISMS zu identifizieren. Dies kann durch Befragung des Personals, Überprüfung von Stellenbeschreibungen oder die Durchführung einer Umfrage erfolgen.
  
  
• Bieten Sie Schulungs- und Entwicklungsmöglichkeiten an, um sicherzustellen, dass das Personal über die notwendigen Fähigkeiten und Kenntnisse verfügt. Dies kann durch interne Schulungen, externe Kurse oder Online-Ressourcen erfolgen.
  
  
• Erstellen Sie einen Kompetenzrahmen, um die erforderlichen Fähigkeiten und Erfahrungen für jede Rolle zu dokumentieren. Dies kann zur Beurteilung der Kompetenz des Personals und zur Identifizierung von Wissens- oder Fähigkeitslücken verwendet werden.
  
  
• Überwachen Sie die Leistung des Personals, um sicherzustellen, dass sie die erforderlichen Standards erfüllen. Dies kann durch regelmäßige Überprüfungen, Leistungsbeurteilungen oder Vorfallberichte erfolgen.
  
  
• Dokumentieren Sie die Kompetenz des Personals und bewahren Sie die Nachweise zu Prüfungszwecken auf. Dies kann durch Schulungsunterlagen, Kompetenzbewertungen oder Leistungsbeurteilungen erfolgen.

Es ist wichtig zu beachten, dass die spezifischen Methoden zur Nachweisführung der Einhaltung von Klausel 7.2 je nach Organisation und den beteiligten Rollen variieren können. Die oben genannten Tipps sind jedoch einige allgemeine Richtlinien, die hilfreich sein können.

Hier sind einige zusätzliche Punkte, die bei der Nachweisführung der Einhaltung von Klausel 7.2 beachtet werden sollten:

• Der Ansatz sollte systematisch und dokumentiert sein.
  
  
• Er sollte auf die spezifischen Bedürfnisse der Organisation zugeschnitten sein.
  
  
• Er sollte regelmäßig überprüft und aktualisiert werden.
  
  
• Er sollte allen Mitarbeitern mitgeteilt werden.

Durch Befolgung dieser Leitlinien können Organisationen ihr Engagement für die Informationssicherheit zeigen und ihre Vermögenswerte vor unbefugtem Zugriff, Nutzung, Offenlegung, Änderung oder Zerstörung schützen.

Fazit und Ausblick

Klausel 7.2 ist eine wichtige Anforderung, die im Rahmen der ISO 27001-Zertifizierung erfüllt werden muss, da sie sicherstellt, dass Organisationen die richtigen Personen mit den richtigen Fähigkeiten und Erfahrungen haben, um die Informationssicherheit effektiv zu verwalten.

Das Gute ist, dass es im Update von 2022 keine Änderungen an diese Klausel gibt, wodurch bisherige Kompetenzen auch weiterhin gelten. Durch Befolgen von Klausel 7.2 können Organisationen ihr Engagement für die Informationssicherheit zeigen und ihre Vermögenswerte vor unbefugtem Zugriff, Nutzung, Offenlegung, Änderung oder Zerstörung schützen.