med informasjonssikkerhetsbrudd nå er det nye normale sikkerhetsteamene tvunget til å ta dedikerte tiltak for å redusere risikoen for å lide et skadelig brudd. ISO 27001 er en effektiv måte å redusere slike risikoer på.
i denne bloggen forklarer vi hvordan DU kan oppnå ISO 27001-sertifisering og ta en titt på sertifiseringsprosessen.
Forbered
Få en forståelse AV ISO 27001
Lesing av standarden gir en utmerket bakgrunn TIL ISO 27001 og dens krav. DET er flere måter Å opp-ferdighet selv OM ISO 27001:
- Les en gratis hvitbok om Standarden
- Les IT-Ledelsens gratis informasjon om ISO 27001 og hvordan du kommer i gang
- Kjøp en kopi Av Standarden (Den er ikke fritt tilgjengelig)
- det kan være lurt å delta på et introduksjonskurs PÅ NETT I ISO 27001 Foundation training course
utnevne en iso 27001-mester
å få innsikt I Iso 27001 Er En Nyttig måte Å Gjøre deg Kjent MED sertifiseringsprosessen, men du trenger en ekte ekspert for å fullføre prosessen.
Dette kan være noen i organisasjonen eller en tredjepart til å administrere prosessen. Uansett bør de ha erfaring med å implementere ET ISMS (information security management system) og forstå hvordan man implementerer kravene i organisasjonen.
hvis du ikke har intern kompetanse, kan det være lurt Å melde DEG PÅ ISO 27001 Online Lead Implementer training course.
Sikker topplederstøtte
ingen prosjekt kan lykkes uten innkjøp og støtte fra organisasjonens ledelse.
en gapanalyse, som omfatter en omfattende gjennomgang av alle eksisterende informasjonssikkerhetsordninger opp mot KRAVENE I ISO/IEC 27001: 2013, gir et godt utgangspunkt.
en grundig gapanalyse bør ideelt sett inkludere en prioritert plan med anbefalte handlinger og ytterligere veiledning for å kartlegge ISMS.
resultatene fra gap-analysen kan gis for å utvikle en sterk business case for iso 27001 implementering.
Etablere kontekst, omfang og mål
det er viktig å kutte ned prosjekt-og ISMS-målene fra begynnelsen, inkludert prosjektkostnader og tidsramme. Du må vurdere om du skal bruke ekstern støtte fra et konsulentselskap eller har den nødvendige interne kompetansen.
du vil kanskje ha kontroll over hele prosjektet mens du stoler på hjelp fra en dedikert online mentor på kritiske stadier av prosjektet.
Ved hjelp av en online mentor vil bidra til å sikre prosjektet holder seg på sporet samtidig som du sparer den tilknyttede bekostning av å bruke heltids konsulenter for prosjektets varighet.
DU må også utvikle OMFANGET AV ISMS, som kan strekke seg til hele organisasjonen eller bare en bestemt avdeling eller geografisk plassering.
når du definerer omfanget, må du vurdere den organisatoriske konteksten og behovene og kravene til interesserte parter (interessenter, ansatte, myndigheter, regulatorer, etc.).
Kontekst vurderer interne og eksterne faktorer som kan påvirke organisasjonens informasjonssikkerhet. Det inkluderer aspekter som organisasjonskultur, risikoakseptkriterier, eksisterende systemer, prosesser, etc.
(Vurder En Altomfattende Gjør Det selv-pakke som inkluderer fem dager med strukturert rådgivning, i tillegg til verktøy, opplæring og programvare).
Etablere et ledelsesrammeverk
ledelsesrammeverket beskriver prosessene en organisasjon må følge FOR å oppfylle SINE ISO27001 implementeringsmål.
disse prosessene inkluderer å hevde ansvarlighet for ISMENE, en tidsplan for aktiviteter og regelmessig revisjon for å støtte en syklus med kontinuerlig forbedring.
Gjennomføre en risikovurdering
MENS ISO 27001 ikke foreskriver en spesifikk risikovurderingsmetode, krever den at risikovurderingen skal være en formell prosess.
dette innebærer at prosessen må planlegges, og data, analyse og resultater må registreres.
før du utfører en risikovurdering, må du opprette de opprinnelige sikkerhetskriteriene. Dette refererer til organisasjonens forretnings -, juridiske og regulatoriske krav, samt kontraktsforpliktelser knyttet til informasjonssikkerhet.
vsRisk Cloud, den enkleste og mest effektive risikovurderingsprogramvaren, gir rammeverket og ressursene for å gjennomføre EN ISO 27001-kompatibel risikovurdering.
Implementere kontroller for å redusere risiko
når de relevante risikoene er identifisert, må organisasjonen bestemme om de skal behandle, tolerere, avslutte eller overføre risikoen.
det er avgjørende å dokumentere alle beslutninger om risikorespons siden revisor vil ønske å gjennomgå dem under registreringen (sertifisering) revisjonen.
SoA (Statement of Applicability) og RTP (risk treatment plan) er to obligatoriske rapporter som må utarbeides som bevis på risikovurderingen.
Gjennomføre opplæring
Standarden krever at personalbevissthetsprogrammer initieres for å øke bevisstheten om informasjonssikkerhet i hele organisasjonen.
du vil også bli pålagt å implementere retningslinjer som leder ansatte mot gode vaner. Dette kan inkludere en clean desk policy og kravet om å låse datamaskiner når de forlater arbeidsstasjonene.
et bedriftsomfattende e-læringskurs for ansatte er den enkleste måten å bringe filosofien bak Standarden på tvers og hva ansatte bør gjøre for å sikre overholdelse.
Se Gjennom og oppdater den nødvendige dokumentasjonen
Dokumentasjon er nødvendig for å støtte DE NØDVENDIGE ISMS-prosessene, policyene og prosedyrene.
Kompilering av retningslinjer og prosedyrer er imidlertid ofte en ganske kjedelig og utfordrende oppgave. Heldigvis er dokumentasjonsmaler-utviklet AV ISO 27001-eksperter-tilgjengelige for å gjøre det meste av arbeidet for deg.
disse malene Er Formatert og kan tilpasses, og inneholder ekspertveiledning for å hjelpe enhver organisasjon med å oppfylle alle dokumentasjonskravene I ISO 27001.
Som et minimum Krever Standarden følgende dokumentasjon:
- OMFANGET av ISMS
- informasjonssikkerhetspolicy
- informasjonssikkerhetsrisikovurderingsprosessen
- informasjonssikkerhetsrisikobehandlingsprosessen
- Anvendelseserklæringen
- Informasjonssikkerhetsmål
- Bevis på kompetanse
- dokumentert informasjon bestemt av organisasjonen som nødvendig FOR effektiviteten AV isms
- operasjonell planlegging og kontroll
- resultater av informasjonssikkerhetsrisikovurderingen
- resultater av informasjonssikkerhetsrisikoen behandling
- Bevis på overvåking og måling av resultater
- en dokumentert intern revisjonsprosess
- Bevis på revisjonsprogrammene og revisjonsresultatene
- Bevis på resultatene av ledelsens gjennomganger
- Bevis på avvikets art og eventuelle påfølgende tiltak
- Bevis på resultatene av eventuelle korrigerende tiltak
måle, overvåke og gjennomgå
iso 27001 støtter en prosess med kontinuerlig forbedring. Dette krever at YTELSEN TIL ISMENE kontinuerlig analyseres og gjennomgås for effektivitet og samsvar, i tillegg til å identifisere forbedringer av eksisterende prosesser og kontroller.
Gjennomføre en intern revisjon
ISO/IEC 27001: 2013 krever interne revisjoner AV ISMS med planlagte intervaller. Praktisk arbeidskunnskap om lead audit-prosessen er også avgjørende for lederen som er ansvarlig FOR å implementere OG opprettholde iso 27001-overholdelse.
Online Certified ISO 27001 Lead Auditor kurset lærer deg hvordan du planlegger og utfører en effektiv informasjonssikkerhetsrevisjon i HENHOLD TIL ISO 27001:2013.
det lærer deg også å lede et team av revisorer og gjennomføre eksterne revisjoner. Hvis du ennå ikke har valgt en registrar, må du kanskje velge en passende organisasjon for dette formålet.
registrerings revisjoner (for å oppnå akkreditert registrering, anerkjent globalt) kan bare utføres av en uavhengig registrar akkreditert av den relevante akkrediteringsmyndigheten i ditt land.
Registrerings – / sertifiseringsrevisjoner
under Revisjonsfasen vil revisor vurdere om dokumentasjonen din oppfyller KRAVENE I ISO 27001. De vil også påpeke eventuelle områder av avvik og potensiell forbedring av styringssystemet.
når eventuelle nødvendige endringer er gjort, vil organisasjonen være klar For Trinn 2 registrering revisjon.
Sertifiseringsrevisjon
under En Fase To revisjon vil revisor gjennomføre en grundig vurdering for å fastslå om du overholder ISO 27001-standarden.
Hvor lang tid tar det å bli sertifisert?
implementeringsprosessen FOR ISO 27001 vil avhenge av ledelsessystemets størrelse og kompleksitet, men i de fleste tilfeller kan små og mellomstore organisasjoner forvente å fullføre prosessen innen 6-12 måneder.
Sertifiseringsstøtte MED IT-Styring USA
er DU klar TIL Å starte ISO 27001-prosjektet ditt? I så fall er vårt utvalg av implementeringspakker det perfekte utgangspunktet.
med en kombinasjon av verktøy, programvare, guider og kvalifikasjonsbasert opplæring med opptil 40 timers nettbasert rådgivning, får du den ekspertrådgivningen du trenger for å oppfylle organisasjonens krav.
De vil hjelpe deg med å redusere tiden og innsatsen som kreves for å implementere ET ISMS, samt eliminere kostnadene ved konsulentarbeid, reiser og andre utgifter forbundet med tradisjonell rådgivning.
en versjon av denne bloggen ble opprinnelig publisert 13. Mars 2019.