cu încălcări ale securității informațiilor acum noul normal, echipele de securitate sunt obligate să ia măsuri dedicate pentru a reduce riscul de a suferi o încălcare dăunătoare. ISO 27001 prezintă o modalitate eficientă de reducere a acestor riscuri.
în acest blog, vă explicăm cum puteți obține certificarea ISO 27001 și aruncați o privire asupra procesului de certificare.
pregătiți
obțineți o înțelegere a ISO 27001
citirea standardului oferă un fundal excelent pentru ISO 27001 și cerințele sale. Există mai multe modalități de a vă îmbunătăți abilitățile despre ISO 27001:
- citiți o carte albă gratuită despre Standard
- citiți informațiile gratuite ale guvernanței it despre ISO 27001 și cum să începeți
- achiziționați o copie a standardului (nu este disponibil gratuit)
- poate doriți să participați la un curs introductiv online de formare a Fundației ISO 27001
desemnați un campion ISO 27001
obținerea unei informații despre ISO 27001 este o modalitate utilă de a vă familiariza cu procesul de certificare, dar aveți nevoie de un adevărat expert care să vă ajute să finalizați procesul.
aceasta poate fi o persoană din cadrul organizației dvs. sau o terță parte care să gestioneze procesul. Oricum ar fi, ar trebui să aibă experiență în implementarea unui ISMS (sistemul de management al securității informațiilor) și înțelegerea modului de implementare a cerințelor sale în cadrul organizației dvs.
dacă nu aveți expertiză internă, vă recomandăm să vă înscrieți la cursul de instruire ISO 27001 online lead Implementer.
Secure senior management support
niciun proiect nu poate avea succes fără buy-in-ul și sprijinul conducerii organizației.
o analiză gap, care cuprinde o revizuire cuprinzătoare a tuturor acordurilor existente privind securitatea informațiilor în raport cu cerințele ISO/IEC 27001:2013, prezintă un bun punct de plecare.
o analiză aprofundată a decalajelor ar trebui să includă în mod ideal un plan prioritar de acțiuni recomandate și îndrumări suplimentare pentru definirea domeniului ISMS.
rezultatele analizei gap pot fi furnizate pentru a dezvolta un caz de afaceri puternic pentru implementarea ISO 27001.
stabilirea contextului, a domeniului de aplicare și a obiectivelor
este esențial să se stabilească de la început obiectivele proiectului și ISMS, inclusiv costurile proiectului și intervalul de timp. Va trebui să luați în considerare dacă veți utiliza asistență externă din partea unei consultanțe sau dacă aveți expertiza internă necesară.
s-ar putea dori să mențină controlul asupra întregului proiect în timp ce bazându-se pe asistența unui mentor on-line dedicat în etapele critice ale proiectului.
utilizarea unui mentor online vă va ajuta să vă asigurați că proiectul dvs. rămâne pe drumul cel bun, economisind în același timp cheltuielile asociate utilizării consultanților cu normă întreagă pe durata proiectului.
de asemenea, va trebui să dezvoltați domeniul de aplicare al ISMS, care se poate extinde la întreaga organizație sau doar la un anumit departament sau locație geografică.
la definirea domeniului de aplicare, va trebui să luați în considerare contextul organizațional și nevoile și cerințele părților interesate (părți interesate, angajați, guvern, autorități de reglementare etc.).
‘Context’ ia în considerare factorii interni și externi care ar putea influența securitatea informațiilor organizației dvs. Acesta include aspecte precum cultura organizațională, criteriile de acceptare a riscurilor, sistemele existente, procesele etc.
(luați în considerare un pachet All-inclusive Do It Yourself care include cinci zile de consultanță structurată, pe lângă instrumente, instruire și software).
stabilirea unui cadru de management
cadrul de management descrie procesele pe care o organizație trebuie să le urmeze pentru a-și îndeplini obiectivele de implementare ISO27001.
aceste procese includ afirmarea responsabilității ISMS, un program de activități și un audit regulat pentru a sprijini un ciclu de îmbunătățire continuă.
efectuați o evaluare a riscurilor
în timp ce ISO 27001 nu prescrie o metodologie specifică de evaluare a riscurilor, aceasta necesită ca evaluarea riscurilor să fie un proces formal.
aceasta implică faptul că procesul trebuie planificat, iar datele, analiza și rezultatele trebuie înregistrate.
înainte de a efectua o evaluare a riscurilor, trebuie să stabiliți criteriile de securitate de bază. Aceasta se referă la cerințele de afaceri, legale și de reglementare ale organizației, precum și la obligațiile contractuale legate de securitatea informațiilor.
Vsrisk Cloud, cel mai simplu și mai eficient software de evaluare a riscurilor, oferă cadrul și resursele necesare pentru a efectua o evaluare a riscurilor conform ISO 27001.
implementați controale pentru atenuarea riscurilor
odată ce riscurile relevante au fost identificate, organizația trebuie să decidă dacă să trateze, să tolereze, să înceteze sau să transfere riscurile.
este esențial să se documenteze toate deciziile privind răspunsurile la risc, deoarece auditorul va dori să le revizuiască în timpul auditului de înregistrare (certificare).
SoA (Declarația de aplicabilitate) și RTP (planul de tratare a riscurilor) sunt două rapoarte obligatorii care trebuie prezentate ca dovadă a evaluării riscurilor.
desfășurarea instruirii
standardul cere ca programele de conștientizare a personalului să fie inițiate pentru a crește gradul de conștientizare cu privire la securitatea informațiilor în întreaga organizație.
de asemenea, vi se va cere să implementați politici care să direcționeze angajații către obiceiuri bune. Aceasta ar putea include o politică de birou curat și cerința de a bloca computerele ori de câte ori părăsesc stațiile de lucru.
un curs de e-learning de conștientizare a personalului la nivel de companie este cel mai simplu mod de a aduce filozofia din spatele standardului și ce ar trebui să facă angajații pentru a asigura conformitatea.
examinați și actualizați documentația necesară
documentația este necesară pentru a sprijini procesele, politicile și procedurile ISMS necesare.
compilarea politicilor și procedurilor este adesea o sarcină destul de obositoare și provocatoare. Din fericire, șabloanele de documentație-dezvoltate de experții ISO 27001 – sunt disponibile pentru a face cea mai mare parte a muncii pentru dvs.
formatate și complet personalizabile, aceste șabloane conțin îndrumări de specialitate pentru a ajuta orice organizație să îndeplinească toate cerințele de documentare ale ISO 27001.
cel puțin, standardul necesită următoarea documentație:
- domeniul de aplicare al ISMS
- Politica de securitate a informațiilor
- procesul de evaluare a riscurilor de securitate a informațiilor
- procesul de tratare a riscurilor de securitate a informațiilor
- Declarația de aplicabilitate
- obiectivele de securitate a informațiilor
- dovada competenței
- informații documentate determinate de organizație ca fiind necesare pentru eficacitatea isms
- planificare și control operațional
- rezultatele evaluării riscului de securitate a informațiilor
- rezultatele riscului de securitate a informațiilor tratament
- dovezi ale monitorizării și măsurării rezultatelor
- un proces de audit intern documentat
- dovezi ale programelor de audit și ale rezultatelor auditului
- dovezi ale rezultatelor analizelor de management
- dovezi ale naturii neconformităților și ale oricăror acțiuni ulterioare întreprinse
- dovezi ale rezultatelor oricăror acțiuni corective luate
măsura, monitoriza și revizui
ISO 27001 sprijină un proces de îmbunătățire continuă. Acest lucru necesită ca performanța ISMS să fie analizată și revizuită în mod constant pentru eficacitate și conformitate, pe lângă identificarea îmbunătățirilor proceselor și controalelor existente.
efectuarea unui audit intern
ISO/IEC 27001:2013 necesită audituri interne ale SMSI la intervale planificate. Cunoștințele practice de lucru ale procesului de audit principal sunt, de asemenea, cruciale pentru managerul responsabil cu implementarea și menținerea conformității ISO 27001.
cursul online certificat ISO 27001 Lead Auditor vă învață cum să planificați și să executați un audit eficient de securitate a informațiilor în conformitate cu ISO 27001:2013.
de asemenea, vă învață să conduceți o echipă de auditori și să efectuați audituri externe. Dacă nu ați selectat încă un registrator, poate fi necesar să alegeți o organizație adecvată în acest scop.
auditurile de înregistrare (pentru a obține înregistrarea acreditată, recunoscută la nivel global) pot fi efectuate numai de un registrator independent acreditat de Autoritatea de acreditare relevantă din țara dvs.
audituri de înregistrare/certificare
în timpul auditului din prima etapă, auditorul va evalua dacă documentația dvs. îndeplinește cerințele ISO 27001. De asemenea, vor sublinia orice domenii de neconformitate și îmbunătățire potențială a sistemului de management.
după efectuarea oricăror modificări necesare, organizația dvs. va fi pregătită pentru auditul de înregistrare în etapa 2.
audit de certificare
în timpul celei de-a doua etape de audit, auditorul va efectua o evaluare amănunțită pentru a stabili dacă respectați standardul ISO 27001.
cât timp va dura pentru a obține certificarea?
procesul de implementare ISO 27001 va depinde de dimensiunea și complexitatea sistemului de management, dar în majoritatea cazurilor, organizațiile mici și mijlocii se pot aștepta să finalizeze procesul în 6-12 luni.
suport de certificare cu IT guvernanță SUA
sunteți gata să începeți proiectul ISO 27001? Dacă da, Gama noastră de pachete de implementare reprezintă punctul de plecare perfect.
cu o combinație de instrumente, software, ghiduri și instruire bazată pe calificare cu până la 40 de ore de consultanță online, veți primi îndrumarea de specialitate de care aveți nevoie pentru a îndeplini cerințele organizației dvs.
acestea vă vor ajuta să reduceți timpul și efortul necesar pentru implementarea unui ISMS, precum și să eliminați costurile lucrărilor de consultanță, deplasări și alte cheltuieli asociate consultanței tradiționale.
o versiune a acestui blog a fost publicată inițial pe 13 martie 2019.