tietoturva-aukkojen kanssa nyt uudet normaalit tietoturvatiimit ovat pakotettuja ryhtymään erityisiin toimenpiteisiin vahingollisen rikkomuksen kärsimisen riskin vähentämiseksi. ISO 27001 on tehokas tapa vähentää tällaisia riskejä.
tässä blogissa kerromme, miten voit saada ISO 27001-sertifikaatin ja tarkastella sertifiointiprosessia.
Prepare
Get an understanding of ISO 27001
Reading the standard provides a excellent background to ISO 27001 and its requirements. On olemassa useita tapoja up-skill yourself noin ISO 27001:
- Lue ilmainen Valkoinen kirja standardista
- Lue it-hallinnon ilmainen tieto ISO 27001-standardista ja siitä, miten pääset alkuun
- osta kopio standardista (se ei ole vapaasti saatavilla)
- saatat haluta osallistua ISO 27001-säätiön verkkokurssille
nimitä ISO 27001-mestari
tutustuminen ISO 27001-standardiin on hyödyllinen tapa tutustua sertifiointiprosessiin, mutta tarvitset todellisen asiantuntijan auttamaan prosessin loppuun saattamisessa.
tämä voi olla joku organisaatiossasi tai kolmas osapuoli, joka hallinnoi prosessia. Joka tapauksessa heillä pitäisi olla kokemusta isms: n (information security management system) toteuttamisesta ja ymmärrystä siitä, miten sen vaatimukset toteutetaan organisaatiossasi.
jos sinulla ei ole sisäistä osaamista, voit ilmoittautua ISO 27001 Online Lead Implementer-kurssille.
turvallinen ylimmän johdon tuki
mikään projekti ei voi onnistua ilman organisaation johdon sisäänostoa ja tukea.
aukkoanalyysi, jossa tarkastellaan kattavasti kaikkia olemassa olevia tietoturvajärjestelyjä ISO/IEC 27001:2013-standardin vaatimusten mukaisesti, on hyvä lähtökohta.
perusteelliseen aukkoanalyysiin tulisi mieluiten sisältyä suositelluista toimista laadittu priorisoitu suunnitelma ja lisäohjeita ISM-tietojen kartoittamiseksi.
gap-analyysin tulokset voidaan toimittaa vahvan liiketoimintatapauksen kehittämiseksi ISO 27001-standardin toteuttamiseksi.
määritellään konteksti, soveltamisala ja tavoitteet
on tärkeää määrittää hankkeen ja ISMS: n tavoitteet alusta alkaen, mukaan lukien hankkeen kustannukset ja aikataulu. Sinun on harkittava, käytätkö ulkopuolista konsulttitukea tai onko sinulla tarvittava sisäinen asiantuntemus.
koko projektin hallinta kannattaa säilyttää, kun luottaa omistautuneen Online-mentorin apuun projektin kriittisissä vaiheissa.
Online-mentorin käyttäminen auttaa varmistamaan, että projektisi pysyy raiteillaan ja säästää samalla kokopäiväisten konsulttien käytöstä aiheutuvia kustannuksia projektin keston ajan.
sinun on myös kehitettävä ISMS: n soveltamisalaa, joka voi ulottua koko organisaatioon tai vain tiettyyn osastoon tai maantieteelliseen sijaintiin.
soveltamisalaa määriteltäessä on otettava huomioon organisaatioympäristö sekä sidosryhmien (sidosryhmät, työntekijät, hallitus, sääntelyviranomaiset jne.) tarpeet ja vaatimukset.).
”Context” käsittelee sisäisiä ja ulkoisia tekijöitä, jotka voivat vaikuttaa organisaatiosi tietoturvaan. Se sisältää sellaisia näkökohtia kuin organisaatiokulttuuri, riskien hyväksymiskriteerit, olemassa olevat järjestelmät, prosessit jne.
(harkitse All-inclusive Do it Yourself-pakettia, joka sisältää viisi päivää strukturoitua konsultointia työkalujen, koulutuksen ja ohjelmistojen lisäksi).
create a management framework
the management framework describes the processes a organization needs to follow the to meet their ISO27001 implementation objectives.
näihin prosesseihin kuuluu isms: n vastuullisuuden vahvistaminen, toiminta-aikataulu ja säännöllinen auditointi jatkuvan parantamisen syklin tukemiseksi.
Suorita riskinarviointi
vaikka ISO 27001 ei määrää erityistä riskinarviointimenetelmää, se edellyttää, että riskinarviointi on muodollinen prosessi.
tämä tarkoittaa, että prosessi on suunniteltava ja tiedot, analyysit ja tulokset on tallennettava.
ennen riskinarviointia on määritettävä perusturvakriteerit. Tämä koskee organisaation liiketoimintaan, lakiin ja sääntelyyn liittyviä vaatimuksia sekä tietoturvaan liittyviä sopimusvelvoitteita.
vsrisk Cloud, yksinkertaisin ja tehokkain riskinarviointiohjelmisto, tarjoaa puitteet ja resurssit ISO 27001-standardin mukaisen riskinarvioinnin tekemiseen.
toteuta kontrollit riskien vähentämiseksi
kun asiaan liittyvät riskit on tunnistettu, organisaation on päätettävä, hoidetaanko, siedetäänkö, lopetetaanko vai siirretäänkö riskit.
on ratkaisevan tärkeää dokumentoida kaikki riskivastauksia koskevat päätökset, koska tilintarkastaja haluaa tarkistaa ne rekisteröinnin (sertifioinnin) tarkastuksen aikana.
SoA (Soveltuvuuslausuma) ja RTP (riskinhallintasuunnitelma) ovat kaksi pakollista raporttia, jotka on esitettävä todisteena riskinarvioinnista.
Conduct training
standardi edellyttää, että henkilöstön tiedotusohjelmat käynnistetään tietoisuuden lisäämiseksi tietoturvasta koko organisaatiossa.
sinun on myös toteutettava politiikkaa, joka ohjaa työntekijöitä hyviin tapoihin. Tähän voi sisältyä puhdas työpöytäkäytäntö ja vaatimus lukita tietokoneet aina, kun ne poistuvat työasemiltaan.
yrityksen laajuinen henkilöstön tietoisuuskurssi on helpoin tapa tuoda esiin standardin taustalla oleva filosofia ja se, mitä työntekijöiden tulisi tehdä sen noudattamisen varmistamiseksi.
Tarkista ja päivitä vaaditut asiakirjat
dokumentaatiota tarvitaan tarvittavien ISMS-prosessien, käytäntöjen ja menettelyjen tueksi.
käytäntöjen ja menettelytapojen kokoaminen on kuitenkin usein melko työlästä ja haastavaa. Onneksi ISO 27001 – asiantuntijoiden kehittämiä dokumentointimalleja on saatavilla tekemään suurimman osan työstä puolestasi.
muotoillut ja täysin muokattavissa olevat mallit sisältävät asiantuntevia ohjeita, joiden avulla mikä tahansa organisaatio voi täyttää kaikki ISO 27001: n dokumentointivaatimukset.
standardi vaatii vähintään seuraavat asiakirjat:
- ISMS: n soveltamisala
- tietoturvapolitiikka
- tietoturvariskien arviointiprosessi
- tietoturvariskien käsittelyprosessi
- sovellettavuus
- Tietoturvatavoitteet
- pätevyyden osoittaminen
- dokumentoitu tieto, jonka organisaatio on määrittänyt isms: n tehokkuuden kannalta välttämättömäksi
- operational planning and control
- information security risk assessment
- information security risk results
- information security risk results käsittely
- näyttö tulosten seurannasta ja mittaamisesta
- dokumentoitu sisäisen tarkastuksen prosessi
- näyttö tarkastusohjelmista ja tarkastuksen tuloksista
- näyttö johdon katselmusten tuloksista
- näyttö vaatimustenvastaisuuksien luonteesta ja myöhemmistä toimista
- näyttö toteutettujen korjaavien toimien tuloksista
measure, monitor, and review
ISO 27001 tukee jatkuvaa parannusprosessia. Tämä edellyttää, että ISMS: n suorituskykyä analysoidaan ja tarkistetaan jatkuvasti tehokkuuden ja vaatimustenmukaisuuden varmistamiseksi, sen lisäksi, että tunnistetaan olemassa olevien prosessien ja kontrollien parannukset.
sisäisen tarkastuksen suorittaminen
ISO/IEC 27001:2013 edellyttää ISMS: n sisäisiä auditointeja suunnitelluin väliajoin. Käytännön tietämys lead audit-prosessista on tärkeää myös ISO 27001-vaatimustenmukaisuuden toteuttamisesta ja ylläpidosta vastaavalle johtajalle.
Online Certified ISO 27001 Lead Auditor-kurssi opettaa sinua suunnittelemaan ja toteuttamaan tehokkaan tietoturva-auditoinnin ISO 27001:2013-standardin mukaisesti.
siinä opetetaan myös johtamaan tilintarkastajien ryhmää ja tekemään ulkoisia auditointeja. Jos et ole vielä valinnut rekisterinpitäjää, sinun on ehkä valittava sopiva organisaatio tätä tarkoitusta varten.
Rekisteröintitarkastukset (akkreditoidun, maailmanlaajuisesti tunnustetun rekisteröinnin saavuttamiseksi) voi suorittaa vain maasi akkreditointiviranomaisen akkreditoima riippumaton rekisterinpitäjä.
rekisteröinti – / sertifiointitarkastukset
ensimmäisen auditointivaiheen aikana tilintarkastaja arvioi, täyttääkö dokumentaatiosi ISO 27001-standardin vaatimukset. Lisäksi niissä tuodaan esiin kaikki osa-alueet, joilla hallinnointijärjestelmää ei noudateta ja joilla sitä voidaan mahdollisesti parantaa.
kun tarvittavat muutokset on tehty, organisaatiosi on valmis vaiheen 2 rekisteröintitarkastukseen.
Sertifiointitarkastus
toisen vaiheen tarkastuksen aikana tilintarkastaja tekee perusteellisen arvioinnin siitä, noudatatko ISO 27001-standardia.
kuinka kauan sertifioinnin saaminen kestää?
ISO 27001-täytäntöönpanoprosessi riippuu johtamisjärjestelmän koosta ja monimutkaisuudesta, mutta useimmissa tapauksissa pienet ja keskisuuret organisaatiot voivat odottaa saavansa prosessin päätökseen 6-12 kuukauden kuluessa.
Sertifiointituki IT Governance USA
Oletko valmis aloittamaan ISO 27001-projektisi? Jos näin on, meidän valikoima täytäntöönpanoa niput ovat täydellinen lähtökohta.
työkaluilla, ohjelmistoilla, oppailla ja pätevyysperusteisella koulutuksella, johon sisältyy jopa 40 tuntia online-konsultointia, saat asiantuntijaohjausta, jota tarvitset organisaatiosi vaatimusten täyttämiseksi.
ne auttavat sinua lyhentämään ISM: n käyttöönottoon kuluvaa aikaa ja vaivaa sekä poistamaan konsulttityöstä, matka-ja muista perinteiseen konsultointiin liittyvistä kuluista aiheutuvat kulut.
tämän blogin versio julkaistiin alun perin 13.maaliskuuta 2019.