Hvordan Utonomy opnåede ISO 27001 første gang med ISMS.online

Udfordringen

Forretningen leverer kunder, der er kritiske til national infrastruktur, og som står over for strenge lovkrav. Som sådan vidste Utonomy-teamet, at opnåelse af ISO 27001-certificering var et must for at demonstrere virksomhedens proaktive informationssikkerhedsholdning over for kunder, interessenter og kundeemner, når de afgav udbud.

Utonomy havde allerede et grundlæggende informationssikkerhedsstyringssystem (ISMS) på plads på grund af det arbejde, teamet havde udført for at opnå Cyber ​​Essentials-certificering. De vidste dog, at virksomheden havde brug for et mere omfattende ISMS for at opnå ISO 27001-certificering med succes. Virksomheden havde brug for en platform til at gøre ISO 27001 implementering og løbende overholdelse så let som muligt.

“Vi erkendte, at vi ville få brug for ISO 27001 i forhold til vores relationer med vores kunder; branchen blev mere sikkerhedsbevidst. Vi havde gjort en del arbejde omkring Cyber ​​Essentials, men vi tænkte, 'vi bliver nødt til at øge vores spil'.”

Steve Lewis Teknisk chef og økonomichef, Utonomy

Løsningen

Utonomy valgte ISMS.online-platformen til ISO 27001-overholdelse og certificering og opbyggede alle sine ISO 27001-politikker, trackere og beviser under ét tag. Ved at bruge platformens forudbyggede policy-skabeloner som udgangspunkt udvidede Steve og hans team skabelonerne for at passe til Utonomys specifikke sikkerhedsmål og sikrede, at de havde omfattende viden om de politikker og kontroller, der udgør organisationens ISMS.

"Vi har masser af ting i trackerne, fordi de er nemme at bruge," sagde Steve Lewis, Utonomys CTO og CISCO. "Det betyder, at de personer, der skal spore sikkerhedshændelser, sandsynligvis ikke gør det et andet sted, som en note i en bog eller i et af vores andre systemer. Og det gør det nemmere at administrere og nemmere at revidere."

Virksomheden migrerede produktrisikodokumentation til ISMS.online for proaktivt at styre produkttrusler og kontroller inden for platformen ved hjælp af risikoregisteret og risikosporing. Med den linkede arbejdsfunktion kortlagde Utonomy over 60 risici og tilhørende kontroller og kan nu nemt overvåge og styre produktrisici i stedet for at opdatere dokumentationen manuelt.

“I denne nye form bliver det meget nemmere at opdatere, når vi lancerer nye produktfunktioner eller produktændringer. Det vil være en mindre besværlig, skræmmende opgave at prøve at arbejde igennem de ting, vi skal ændre."

"Skabelonerne gav os en struktur, og det var en lærerig måde at se på en acceptabel beskrivelse af en proces, for når man kommer kold, er det altid svært at vide, hvor langt man skal gå med dokumentation."

Steve Lewis Teknisk chef og økonomichef, Utonomy

Resultat

Utonomy opnåede ISO 27001-certificering første gang inden for et år og har med succes bestået to overvågningsaudits, hvilket viser holdets forpligtelse til løbende at forbedre virksomhedens sikkerhedsposition.

Utonomy-teamet er nu begyndt at udforske nye måder at bruge ISMS.online for mere effektiv overholdelse. For eksempel bruger virksomheden funktionen policy packs til at levere og overvåge personalesikkerhedsbevidsthed og træning. Utonomy bruger så disse policy packs som bevis på, at alle i virksomheden har gennemført den påkrævede uddannelse, som policy pack viser, når en medarbejder har krydset af for træningsaktiviteten.

Steve var meget tilfreds med deres oplevelse: "Jeg er meget tilfreds med ISMS.online-platformen. Den levede op til forventningerne, og den hjalp os helt sikkert med at få vores ISO 27001 første gang."

Virksomheden engagerede sig også med ISMS.onlines supportteam for at diskutere en yderligere skræddersyet funktion til at understøtte virksomhedens trusselsmodelleringskapacitet og implementerede disse funktioner, da ISMS.online-support leverede dette inden for en kort tidsramme.

"Den tekniske support til ISMS.online er uden sidestykke, førstelinjesupportfolkene er meget vidende om produktet og yderst hjælpsomme. Imponerende nok, når jeg har haft brug for at gøre noget, der ikke er teknisk understøttet af produktet, har de arbejdet bag kulisserne for at hjælpe mig og løse mit problem inden for et par dage.”

Steve Lewis Teknisk chef og økonomichef, Utonomy

Ved at innovere med ISMS.online-platformen, samt administrere ISO 27001-overholdelse, fortsætter Utonomy med at demonstrere sin stærke sikkerhedsposition over for eksterne revisorer og positionerer sig som en betroet leverandør for sine kritiske nationale infrastrukturkunder.

Utonomy modtog også stor ros fra en uafhængig konsulent, der gennemgik sine sikkerhedsforanstaltninger som en del af et pilotprogram for sikkerhed i startup innovation. Ved at give ham begrænset adgang til sit ISO 27001-projekt i ISMS.online opnåede Utonomy en yderst positiv rapport.

Hvad er næste?

Efter at have gennemført sin ISO 27001:2013 overvågningsaudit, forbereder Utonomy sig på at opdatere til den seneste version af ISO 27001, 2022-gentagelsen af ​​standarden.

Steve og hans team kortlægger også virksomhedens produkt- og ISMS-kontroller til National Cybersecurity Centres Cyber ​​Assessment Framework. Teamet kan derefter producere præ-lavet indhold for at hjælpe kunder med at gennemføre risikovurderinger omkring Utonomy som leverandør og vise, hvordan produktet stemmer overens med rammen.