5 bedste tips til at opnå ISO 27001-certificering
Følg den vej, som Sam Peters, vores chef for produkter og tjenester har udstukket, for en ligetil rejse til certificeringssucces.
Start altid med en plan
ISO 27001-certificeringsprocessen kan være ret kompleks og udfordrende. Du skal holde mange tallerkener i gang. Så før du starter, har du brug for en implementeringsplan, der fører dig igennem det hele. Stil dig selv spørgsmål som: Hvordan implementerer vi ISO 27001? Hvad skal vi tænke på på hvert trin af revisionsproces? Hvordan vil vores arbejdsbyrde være, og hvornår vil vi opnå dette inden? Du skal have en god idé om, hvad du vil og skal opnå før, under og endda efter certificering.
Behandl det som en forretningsforbedringsøvelse
Der er meget at tage fat på ISO 27001. At se det som en forretningsforbedringsøvelse i stedet for blot at sætte kryds i en masse felter, vil hjælpe dig med at tage det hele ind og engagere dig i det. Det kan hjælpe dig med at skabe forretningsprocesser og tilgange på mere strukturerede, gennemtænkte måder. Vi har set massive forbedringer i vores egen forretning ved at gøre det. Du får ikke så meget ud af det, hvis din tilgang er: 'Jeg gør det kun for at imødekomme disse krav af standarderne«.
Tag din organisation med dig
Alle skal forstå og følge din infosec politikker og kontroller. Din organisations medarbejdere vil være dens største sikkerhedsstyrke. Men kun hvis du udstyrer dem med alt, hvad de skal være kompetent og dygtig. Og du har brug for lederskab, det er en vigtig del af standarden. Faktisk er det en revideret del af standarden.
Så dine politikker og kontroller må ikke være for tekniske. De er nødt til at fortælle folk uden anelse om de tekniske ting, hvad de skal gøre, og hvorfor det er så vigtigt. Og dine seniorledere skal engagere sig i det hele og underskrive det hele. Jo nemmere du gør det at følge, jo større sandsynlighed er der for, at du overholder det, både internt og med certificeringsprocessen.
Del den rigtige information med de rigtige personer
Først bad vi alle ansatte om at læse hver enkelt politik og kontrol igennem. Det er meget læsning! Og så beder du dem om at finde ud af, hvad der betyder noget for dem. Så med tiden har vi forfinet det. Vi beder kun folk om at læse de politikker og kontroller, der er relevante for deres roller. Så du beder kun folk om at tage det, der er relevant for dem, hvad de faktisk har brug for at vide og handle ud fra. Det synes jeg er ret vigtigt. Åh, og selvfølgelig kan de stadig læse resten af den, hvis de vil.
Husk, at det hele handler om risiko
ISO 27001 er en risikobaseret standard. Det er nemt at miste af syne, når du er dybt i certificering. Så alt, hvad du gør, bør mindske en risiko, som din organisation står over for. Nogle gange kan man få det omvendt, og man ender med at tænke: "Jeg er nødt til at implementere denne kontrol, for det er, hvad standarden siger". Men standarden siger det kun på grund af en reel risiko. Du sætter ikke kryds ved imaginære bokse, du beskytter faktisk din organisation. Så nogle gange vil det at starte med risiciene og arbejde tilbage fra dem hjælpe dig med at tænke over det hele på en mere konstruktiv måde.
Sam Peters – chef for produkter og tjenester
Et af de længst siddende medlemmer af ISMS.online team, har Sam næsten tyve års erfaring med at bringe SaaS-løsninger på markedet. Inden du specialiserer dig i informationssikkerhed, Sam havde digitale roller i både den offentlige og private sektor og arbejdede inden for finans, uddannelse og retshåndhævelse. I den lille fritid han har, nyder Sam at cykle og tilbringe tid med sin unge familie.
