med brud på informationssikkerheden nu er de nye normale sikkerhedsteams tvunget til at træffe dedikerede foranstaltninger for at reducere risikoen for at lide et skadeligt brud. ISO 27001 præsenterer en effektiv måde at reducere sådanne risici på.
i denne blog forklarer vi, hvordan du kan få ISO 27001-certificering og se på certificeringsprocessen.
Forbered
få en forståelse af ISO 27001
læsning af standarden giver en fremragende baggrund for ISO 27001 og dens krav. Der er flere måder at op-dygtighed dig selv om ISO 27001:
- Læs en gratis hvidbog om standarden
- Læs IT Governance ‘ s GRATIS information om ISO 27001 og hvordan du kommer i gang
- Køb en kopi af standarden (den er ikke frit tilgængelig)
- du vil måske deltage i et indledende online ISO 27001 Foundation training course
udpeg en ISO 27001 champion
at få et indblik i ISO 27001 er en nyttig måde at gøre dig bekendt med certificeringsprocessen, men du har brug for en ægte ekspert til at hjælpe med at fuldføre processen.
dette kan være en person i din organisation eller en tredjepart til at styre processen. Uanset hvad skal de have erfaring med at implementere et ISMS (information security management system) og forstå, hvordan man implementerer dets krav i din organisation.
hvis du ikke har intern ekspertise, kan du tilmelde dig ISO 27001 online Lead Implementer kursus.
Secure senior management support
intet projekt kan lykkes uden buy-in og støtte fra organisationens ledelse.
en gap-analyse, der omfatter en omfattende gennemgang af alle eksisterende informationssikkerhedsordninger i forhold til kravene i ISO/IEC 27001:2013, giver et godt udgangspunkt.
en grundig gap-analyse bør ideelt set omfatte en prioriteret plan for anbefalede handlinger og yderligere vejledning til scoping af dine ISMS.
resultaterne fra gap-analysen kan leveres for at udvikle en stærk business case for ISO 27001 implementering.
fastlægge kontekst, omfang og mål
det er vigtigt at fastlægge projektets og ISMS-målene fra starten, herunder projektomkostninger og Tidsramme. Du skal overveje, om du vil bruge ekstern support fra en konsulentvirksomhed eller have den nødvendige interne ekspertise.
du vil måske bevare kontrollen over hele projektet, mens du stoler på hjælp fra en dedikeret online mentor på kritiske stadier af projektet.
brug af en online mentor hjælper med at sikre, at dit projekt forbliver på sporet, mens du sparer den tilhørende udgift ved at bruge fuldtidskonsulenter i projektets varighed.
du skal også udvikle omfanget af ISMS, som kan strække sig til hele organisationen eller kun en bestemt afdeling eller geografisk placering.
når du definerer omfanget, skal du overveje den organisatoriske kontekst og de interesserede parters behov og krav (interessenter, medarbejdere, regering, regulatorer osv.).
‘kontekst’ overvejer interne og eksterne faktorer, der kan påvirke din organisations informationssikkerhed. Det inkluderer aspekter som organisationskulturen, risikoacceptkriterier, eksisterende systemer, processer osv.
(overvej en altomfattende gør det selv-pakke, der inkluderer fem dages struktureret rådgivning ud over værktøjer, træning og programmer).
etablere en ledelsesramme
ledelsesrammen beskriver de processer, en organisation skal følge for at opfylde sine ISO27001 implementeringsmål.
disse processer inkluderer påstand om ansvarlighed for ISMS, en tidsplan for aktiviteter og regelmæssig revision for at understøtte en cyklus med kontinuerlig forbedring.
gennemføre en risikovurdering
mens ISO 27001 ikke foreskriver en specifik risikovurderingsmetode, kræver det, at risikovurderingen er en formel proces.
dette indebærer, at processen skal planlægges, og data, analyse og resultater skal registreres.
før du foretager en risikovurdering, skal du fastlægge dine grundlæggende sikkerhedskriterier. Dette henviser til organisationens forretnings -, juridiske og lovgivningsmæssige krav samt dens kontraktlige forpligtelser i forbindelse med informationssikkerhed.
vsRisk Cloud, det enkleste og mest effektive risikovurderingsprogram, giver rammerne og ressourcerne til at gennemføre en ISO 27001-kompatibel risikovurdering.
Implementer kontroller for at afbøde risici
når de relevante risici er identificeret, skal organisationen beslutte, om de skal behandle, tolerere, afslutte eller overføre risiciene.
det er afgørende at dokumentere alle beslutninger vedrørende risikoresponser, da revisor vil gennemgå dem under registreringsrevisionen (certificering).
SoA (Erklæring om anvendelighed) og RTP (risk treatment plan) er to obligatoriske rapporter, der skal fremlægges som bevis for risikovurderingen.
Udfør træning
standarden kræver, at personalebevidsthedsprogrammer indledes for at øge bevidstheden om informationssikkerhed i hele organisationen.
du skal også implementere politikker, der leder medarbejderne mod gode vaner. Dette kan omfatte en ren skrivebordspolitik og kravet om at låse computere, når de forlader deres arbejdsstationer.
et e-læringskursus for medarbejdere i hele virksomheden er den nemmeste måde at bringe filosofien bag standarden på, og hvad medarbejderne skal gøre for at sikre overholdelse.
gennemgå og opdater den krævede dokumentation
dokumentation er påkrævet for at understøtte de nødvendige ISMS-processer, politikker og procedurer.
udarbejdelse af politikker og procedurer er dog ofte en temmelig kedelig og udfordrende opgave. Heldigvis er dokumentationsskabeloner-udviklet af ISO 27001 – eksperter-tilgængelige for at gøre det meste af arbejdet for dig.
formateret og fuldt tilpasselig, disse skabeloner indeholder ekspertvejledning til at hjælpe enhver organisation opfylde alle dokumentationskravene i ISO 27001.
som minimum kræver standarden følgende dokumentation:
- omfanget af ISMS
- informationssikkerhedspolitik
- informationssikkerhedsrisikovurderingsproces
- informationssikkerhedsrisikobehandlingsproces
- erklæringen om anvendelighed
- informationssikkerhedsmål
- bevis for kompetence
- dokumenteret information bestemt af organisationen som nødvendig for effektiviteten af isms
- operationel planlægning og kontrol
- resultater af risikovurderingen for informationssikkerhed
- resultater af informationssikkerhedsrisikoen behandling
- bevis for overvågning og måling af resultater
- en dokumenteret intern revisionsproces
- bevis for revisionsprogrammerne og revisionsresultaterne
- bevis for resultaterne af ledelsesevalueringer
- bevis for arten af afvigelserne og eventuelle efterfølgende handlinger
- bevis for resultaterne af eventuelle korrigerende handlinger
- bevis for resultaterne af eventuelle korrigerende handlinger taget
måle, overvåge og gennemgå
ISO 27001 understøtter en proces med løbende forbedring. Dette kræver, at ISMS ‘ ydeevne konstant analyseres og gennemgås for effektivitet og overholdelse ud over at identificere forbedringer af eksisterende processer og kontroller.
gennemføre en intern revision
ISO/IEC 27001:2013 kræver interne revisioner af ISMS med planlagte intervaller. Praktisk arbejdskendskab til lead audit-processen er også afgørende for den leder, der er ansvarlig for implementering og vedligeholdelse af ISO 27001-overholdelse.
det online certificerede ISO 27001 Lead Auditor kursus lærer dig, hvordan du planlægger og udfører en effektiv informationssikkerhedsrevision i henhold til ISO 27001:2013.
det lærer dig også at lede et team af revisorer og udføre eksterne revisioner. Hvis du endnu ikke har valgt en registrator, skal du muligvis vælge en passende organisation til dette formål.
Registreringsrevisioner (for at opnå akkrediteret registrering, anerkendt globalt) må kun udføres af en uafhængig registrator, der er akkrediteret af den relevante akkrediteringsmyndighed i dit land.
registrerings – /certificeringsrevisioner
under første fase vil revisor vurdere, om din dokumentation opfylder kravene i ISO 27001. De vil også påpege eventuelle områder med manglende overensstemmelse og potentiel forbedring af styringssystemet.
når der er foretaget nødvendige ændringer, vil din organisation være klar til din Fase 2 registreringsrevision.
Certificeringsrevision
under en fase to-revision vil revisor foretage en grundig vurdering for at fastslå, om du overholder ISO 27001-standarden.
hvor lang tid tager det at blive certificeret?
ISO 27001-implementeringsprocessen afhænger af ledelsessystemets størrelse og kompleksitet, men i de fleste tilfælde kan små til mellemstore organisationer forvente at afslutte processen inden for 6-12 måneder.
Certificeringsstøtte med IT Governance USA
er du klar til at starte dit ISO 27001-projekt? I så fald er vores udvalg af implementeringspakker det perfekte udgangspunkt.
med en kombination af værktøjer, programmer, vejledninger og kvalifikationsbaseret træning med op til 40 timers online rådgivning får du den ekspertvejledning, du har brug for for at opfylde din organisations krav.
de hjælper dig med at reducere den tid og kræfter, der kræves for at implementere et ISMS, samt eliminere omkostningerne ved Konsulentarbejde, rejser og andre udgifter forbundet med traditionel rådgivning.
en version af denne blog blev oprindeligt offentliggjort den 13.marts 2019.