med informationssäkerhetsöverträdelser nu den nya normala, säkerhetsteam tvingas vidta särskilda åtgärder för att minska risken för att drabbas av ett skadligt brott. ISO 27001 är ett effektivt sätt att minska sådana risker.
i den här bloggen förklarar vi hur du kan få ISO 27001-certifiering och titta på certifieringsprocessen.
Förbered
få en förståelse för ISO 27001
att läsa standarden ger en utmärkt bakgrund till ISO 27001 och dess krav. Det finns flera sätt att up-skill själv om ISO 27001:
- Läs en gratis vitbok om standarden
- Läs IT Governance gratis information om ISO 27001 och hur du kommer igång
- Köp en kopia av standarden (den är inte fritt tillgänglig)
- du kanske vill delta i en introduktionskurs online ISO 27001 Foundation training course
utse en ISO 27001 champion
att få en inblick i ISO 27001 är ett användbart sätt att bekanta dig med certifieringsprocessen, men du behöver en riktig expert för att slutföra processen.
det här kan vara någon inom din organisation eller en tredje part som hanterar processen. Hur som helst bör de ha erfarenhet av att implementera ett isms (information security management system) och förstå hur man implementerar sina krav inom din organisation.
om du inte har intern expertis kanske du vill anmäla dig till ISO 27001 Online Lead Implementer training course.
säker ledningsstöd
inget projekt kan lyckas utan inköp och stöd från organisationens ledarskap.
en gap-analys, som omfattar en omfattande översyn av alla befintliga informationssäkerhetsarrangemang mot kraven i ISO/IEC 27001:2013, är en bra utgångspunkt.
en grundlig gap-analys bör helst innehålla en prioriterad plan för rekommenderade åtgärder och ytterligare vägledning för att scoping dina ISMS.
resultaten från gap-analysen kan tillhandahållas för att utveckla ett starkt Business case för ISO 27001-implementering.
fastställa sammanhang, omfattning och mål
det är viktigt att fastställa projektets och ISMS-målen från början, inklusive projektkostnader och tidsram. Du måste överväga om du kommer att använda externt stöd från ett konsultföretag eller ha den nödvändiga interna kompetensen.
du kanske vill behålla kontrollen över hela projektet samtidigt förlita sig på hjälp av en dedikerad online mentor i kritiska skeden av projektet.
att använda en online mentor hjälper till att säkerställa att ditt projekt stannar på rätt spår samtidigt som du sparar den tillhörande kostnaden för att använda heltidskonsulter under projektets varaktighet.
du måste också utveckla omfattningen av ISMS, som kan sträcka sig till hela organisationen eller bara en specifik avdelning eller geografisk plats.
när du definierar omfattningen måste du överväga det organisatoriska sammanhanget och intressenternas behov och krav (intressenter, anställda, myndigheter, tillsynsmyndigheter etc.).
’Context’ tar hänsyn till interna och externa faktorer som kan påverka organisationens informationssäkerhet. Den innehåller aspekter som organisationskulturen, riskacceptskriterier, befintliga system, processer etc.
(Tänk på ett allomfattande gör det själv-paket som innehåller fem dagars strukturerad konsultation, förutom verktyg, utbildning och programvara).
upprätta ett ledningsramverk
ledningsramen beskriver de processer som en organisation behöver följa för att uppfylla sina ISO27001-implementeringsmål.
dessa processer innefattar att hävda ansvarsskyldighet för ISMS, ett schema över aktiviteter och regelbunden revision för att stödja en cykel av kontinuerlig förbättring.
gör en riskbedömning
medan ISO 27001 inte föreskriver en specifik riskbedömningsmetod, kräver det att riskbedömningen är en formell process.
detta innebär att processen måste planeras och data, analys och resultat måste registreras.
innan du gör en riskbedömning måste du fastställa dina grundläggande säkerhetskriterier. Detta hänvisar till organisationens affärs -, juridiska och lagstadgade krav samt dess avtalsförpliktelser relaterade till informationssäkerhet.
vsRisk Cloud, den enklaste och mest effektiva riskbedömningsprogramvaran, ger ramarna och resurserna för att genomföra en ISO 27001-kompatibel riskbedömning.
implementera kontroller för att mildra risker
när de relevanta riskerna har identifierats måste organisationen besluta om att behandla, tolerera, avsluta eller överföra riskerna.
det är viktigt att dokumentera alla beslut om riskresponser eftersom revisorn kommer att vilja granska dem under registreringsrevisionen (certifieringsrevisionen).
SoA (applicability Statement) och RTP (risk treatment plan) är två obligatoriska rapporter som måste produceras som bevis på riskbedömningen.
genomföra utbildning
standarden kräver att personalmedvetenhetsprogram initieras för att öka medvetenheten om informationssäkerhet i hela organisationen.
du kommer också att behöva implementera policyer som leder anställda mot goda vanor. Detta kan inkludera en clean desk policy och kravet att låsa datorer när de lämnar sina arbetsstationer.
en e-learning-kurs för hela företaget är det enklaste sättet att ta fram filosofin bakom standarden och vad anställda bör göra för att säkerställa efterlevnad.
granska och uppdatera nödvändig dokumentation
dokumentation krävs för att stödja nödvändiga isms-processer, policyer och procedurer.
att sammanställa policyer och procedurer är dock ofta en ganska tråkig och utmanande uppgift. Lyckligtvis finns dokumentationsmallar-utvecklade av ISO 27001 – experter-tillgängliga för att göra det mesta av arbetet åt dig.
formaterade och helt anpassningsbara, dessa mallar innehåller expertvägledning för att hjälpa alla organisationer att uppfylla alla dokumentationskrav i ISO 27001.
standarden kräver minst följande dokumentation:
- omfattningen av ISMS
- informationssäkerhetspolicy
- riskbedömningsprocess för informationssäkerhet
- behandlingsprocess för informationssäkerhet
- ansökan om tillämplighet
- informationssäkerhetsmål
- bevis på kompetens
- dokumenterad information bestämd av organisationen som nödvändig för effektiviteten av isms
- operativ planering och kontroll
- resultat av riskbedömningen av informationssäkerhet
- resultat av informationssäkerhetsrisken behandling
- bevis på övervakning och mätning av resultat
- en dokumenterad internrevisionsprocess
- bevis på revisionsprogrammen och revisionsresultaten
- bevis på resultaten av företagsledningens granskningar
- bevis på arten av avvikelserna och eventuella efterföljande åtgärder som vidtagits
- bevis på resultaten av korrigerande åtgärder taken
mät, övervaka och granska
ISO 27001 stöder en process med kontinuerlig förbättring. Detta kräver att isms: s prestanda ständigt analyseras och granskas för effektivitet och efterlevnad, förutom att identifiera förbättringar av befintliga processer och kontroller.
genomföra en internrevision
ISO/IEC 27001:2013 kräver interna revisioner av ISMS med planerade intervaller. Praktisk kunskap om ledningsrevisionsprocessen är också avgörande för den chef som ansvarar för att implementera och upprätthålla ISO 27001-efterlevnad.
den Onlinecertifierade ISO 27001 Lead Auditor-kursen lär dig hur du planerar och genomför en effektiv informationssäkerhetsrevision enligt ISO 27001:2013.
det lär dig också att leda ett team av revisorer och genomföra externa revisioner. Om du ännu inte har valt en registrator kan du behöva välja en lämplig organisation för detta ändamål.
registreringsrevisioner (för att uppnå ackrediterad registrering, erkänd globalt) får endast utföras av en oberoende registrator ackrediterad av relevant ackrediteringsmyndighet i ditt land.
registrerings – /certifieringsrevisioner
under steg ett-granskningen kommer revisorn att bedöma om din dokumentation uppfyller kraven i ISO 27001. De kommer också att peka på alla områden av avvikelse och potentiell förbättring av ledningssystemet.
när alla nödvändiga ändringar har gjorts kommer din organisation att vara redo för din Steg 2-registreringsrevision.
Certifieringsrevision
under en steg två revision kommer revisorn att göra en grundlig bedömning för att fastställa om du följer ISO 27001-standarden.
hur lång tid tar det att bli certifierad?
implementeringsprocessen ISO 27001 beror på ledningssystemets storlek och komplexitet, men i de flesta fall kan små till medelstora organisationer förvänta sig att slutföra processen inom 6-12 månader.
Certifieringsstöd med IT-styrning USA
är du redo att börja ditt ISO 27001-projekt? Om så är fallet är vårt sortiment av implementeringspaket den perfekta utgångspunkten.
med en kombination av verktyg, programvara, guider och kvalificeringsbaserad utbildning med upp till 40 timmars online-konsultation får du den expertvägledning du behöver för att uppfylla organisationens krav.
de hjälper dig att minska den tid och ansträngning som krävs för att genomföra en ISMS, samt eliminera kostnaderna för konsultarbete, resor och andra kostnader i samband med traditionell rådgivning.
en version av denna blogg publicerades ursprungligen den 13 mars 2019.