Objective: As an essential control mechanism, assessing the effectiveness of the ISMS from merely an internal point of view is insufficient. Additionally, an independent and therefore objective assessment shall be obtained at regular intervals and in case of fundamental changes.
Requirements (must): Information security reviews are carried out by an independent and competent body at regular intervals and in case of fundamental changes.
Measures for correcting potential deviations are initiated and pursued.
Requirements (should): The results of conducted reviews are documented and reported to the management of the organization.
Organisaation on pyrittävä jatkuvasti parantamaan tietoturvallisuuden hallintajärjestelmän suorituskykyä. Tapoja parantamiseen pyritään löytämään aktiivisesti - ei ainoastaan auditointien tai selkeiden havaittujen poikkeamien kautta.
Tehtävän omistaja vastaa siitä, että hallintajärjestelmään tehdyt parannukset dokumentoidaan ja jaotellaan toteutettaviksi tehtäviksi, tehtävät toteutetaan suunnitelmien mukaisesti ja niillä aikaansaadut vaikutukset arvioidaan.
Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.
Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
