In dit artikel wordt uitgelegd op welke wijze de interne en externe communicatie binnen de ISO 27001 kan worden ingericht zodat het waarde oplevert voor uw organisatie
Tijdens audits die ik uitvoer kom ik zelden een logische inrichting van de interne en externe communicatie tegen. Vaak is het op zijn best een overzicht van de interne overleggen. Hierbij is informatiebeveiliging vaak niet eens een onderwerp. Externe communicatie ontbreekt bijna altijd. In de versie van de norm uit 2022 zijn vier extra elementen toegevoegd. Met wie wordt gecommuniceerd, waarover, wanneer en op welke manier.
Laten we beginnen met de vraag met wie moet worden gecommuniceerd. In hoofdstuk 4 van de norm wordt gevraagd om een overzicht te maken van alle belanghebbenden rond informatiebeveiliging. Als er communicatie over informatiebeveiliging moet plaats vinden, dan zijn de belanghebbenden een logische start.
Omdat in hoofdstuk 4 ook is vastgelegd wat de eisen en verwachtingen zijn per belanghebbende, is het slim om het onderwerp waarover communicatie plaats moet vinden daarover te laten gaan.
Het is nu aan u als organisatie om te bepalen hoe het best gecommuniceerd kan worden. Een nieuwsbrief, werknemersbijeenkomsten, verslagen die later bekeken kunnen worden. Gebruik informatiebeveiliging gerust voor marketing.
Tot slot de vraag hoe vaak en wanneer gecommuniceerd moet worden. Maak hiervoor net als voor marketinguitingen een planning voor. En zorg dat duidelijk is wie verantwoordelijk is om te zorgen dat het ook echt gedaan wordt.
Neem de uitwerking op de gedocumenteerde informatie en u heeft een logische, effectieve en zinvolle inrichting van communicatie binnen de ISO 27001 norm.