En integreret tilgang: Hvordan ISMS.online opnåede ISO 27001- og ISO 27701-gencertificering

I oktober 2024 opnåede vi gencertificering til ISO 27001, informationssikkerhedsstandarden og ISO 27701, databeskyttelsesstandarden. Med vores succesfulde gencertificering går ISMS.online ind i sin femte tre-årige certificeringscyklus – vi har holdt ISO 27001 i over et årti! Vi er glade for at kunne dele, at vi opnåede begge certificeringer med nul afvigelser og masser af læring.

Hvordan sikrede vi, at vi effektivt administrerede og fortsatte med at forbedre vores databeskyttelse og informationssikkerhed? Vi brugte vores integrerede compliance-løsning – Single Point of Truth, eller SPoT, for at bygge vores integrerede ledelsessystem (IMS). Vores IMS kombinerer vores informationssikkerhedsstyringssystem (ISMS) og privatlivsinformationsstyringssystem (PIMS) til én problemfri løsning.

I denne blog deler vores team deres tanker om processen og erfaringerne og forklarer, hvordan vi greb vores ISO 27001- og ISO 27701-recertificeringsrevisioner an.

Hvad er ISO 27701?

ISO 27701 er en privatlivsudvidelse til ISO 27001. Standarden giver retningslinjer og krav til implementering og vedligeholdelse af et PIMS inden for en eksisterende ISMS-ramme.

Hvorfor bør organisationer overveje at implementere ISO 27701?

Organisationer er ansvarlige for at opbevare og håndtere mere følsomme oplysninger end nogensinde før. En så høj – og stigende – mængde af data er et lukrativt mål for trusselsaktører og udgør en central bekymring for forbrugere og virksomheder for at sikre, at de opbevares sikkert.

Med væksten i globale reguleringer, såsom GDPR, CCPA og HIPAA, har organisationer et stigende juridisk ansvar for at beskytte deres kunders data. Globalt bevæger vi os støt mod et overholdelseslandskab, hvor informationssikkerhed ikke længere kan eksistere uden databeskyttelse.

Fordelene ved at vedtage ISO 27701 rækker ud over at hjælpe organisationer med at opfylde lovgivnings- og overholdelseskrav. Disse omfatter demonstration af ansvarlighed og gennemsigtighed over for interessenter, forbedring af kundernes tillid og loyalitet, reduktion af risikoen for brud på privatlivets fred og tilknyttede omkostninger og frigørelse af en konkurrencefordel.

Vores ISO 27001- og ISO 27701-recertificeringsrevisionsforberedelse

Da denne ISO 27701-revision var en gencertificering, vidste vi, at den sandsynligvis ville være mere dybdegående og have et større omfang end en årlig overvågningsrevision. Det var planlagt til at vare 9 dage i alt. Siden vores tidligere revision har ISMS.online også flyttet hovedkvarteret, fået et andet kontor og haft flere personaleændringer. Vi var parate til at tage hånd om eventuelle afvigelser forårsaget af disse ændringer, hvis revisor skulle finde nogen.

IMS anmeldelse

Før vores revision gennemgik vi vores politikker og kontroller for at sikre, at de stadig afspejlede vores tilgang til informationssikkerhed og privatliv. I betragtning af de store ændringer i vores forretning i de seneste 12 måneder, var det nødvendigt at sikre, at vi kunne demonstrere løbende overvågning og forbedring af vores tilgang.

Dette omfattede at sikre, at vores interne revisionsprogram var opdateret og fuldstændigt, vi kunne dokumentere, at resultaterne af vores ISMS Management-møder blev registreret, og at vores KPI'er var opdateret for at vise, at vi målte vores infosec- og privatlivspræstation.

Risikostyring og gapanalyse

Risikostyring og gap-analyse bør være en del af den løbende forbedringsproces, når man opretholder overholdelse af både ISO 27001 og ISO 27701. Dag-til-dag forretningspres kan dog gøre dette vanskeligt. Vi brugte vores egne ISMS.online platforms projektstyringsværktøjer til at planlægge regelmæssige gennemgange af de kritiske elementer i ISMS, såsom risikoanalyse, intern revisionsprogram, KPI'er, leverandørvurderinger og korrigerende handlinger.

Brug af vores ISMS.online platform

Al information relateret til vores politikker og kontroller opbevares i vores ISMS.online platform, som er tilgængelig for hele teamet. Denne platform gør det muligt at gennemgå og godkende samarbejdsopdateringer og giver også automatisk versionering og en historisk tidslinje for eventuelle ændringer.

Platformen planlægger også automatisk vigtige revisionsopgaver, såsom risikovurderinger og anmeldelser, og giver brugerne mulighed for at oprette handlinger for at sikre, at opgaver udføres inden for de nødvendige tidsskalaer. Tilpasselige rammer giver en ensartet tilgang til processer såsom leverandørvurderinger og rekruttering, og beskriver de vigtige infosec- og privatlivsopgaver, der skal udføres for disse aktiviteter.

Hvad kan du forvente under en ISO 27001- og ISO 27701-revision

Under revisionen vil revisor gerne gennemgå nogle nøgleområder i dit IMS, såsom:

1. Din organisations politikker, procedurer og processer til håndtering af persondata eller informationssikkerhed
2. Evaluer dine informationssikkerheds- og privatlivsrisici og passende kontroller for at afgøre, om dine kontroller effektivt afbøder de identificerede risici.
3. Vurder dinincident management. Er din evne til at opdage, rapportere, undersøge og reagere på hændelser tilstrækkelig?
4. Undersøg din tredjepartsledelse for at sikre, at der er tilstrækkelig kontrol på plads til at håndtere tredjepartsrisici.
5. Tjek dine træningsprogrammer uddanne dit personale tilstrækkeligt i forhold til privatliv og informationssikkerhed.
6. Gennemgå din organisations præstationsmålinger for at bekræfte, at de opfylder dine skitserede privatlivs- og informationssikkerhedsmål.

Den eksterne revisionsproces

Inden din revision begynder, vil den eksterne revisor give en tidsplan, der beskriver det omfang, de ønsker at dække, og om de gerne vil tale med specifikke afdelinger eller personale eller besøge bestemte lokationer.

Den første dag starter med et åbningsmøde. Medlemmer af direktionen, i vores tilfælde, CEO og CPO, er til stede for at overbevise revisor om, at de administrerer, aktivt støtter og er engageret i informationssikkerheds- og privatlivsprogrammet for hele organisationen. Dette fokuserer på en gennemgang af ISO 27001 og ISO 27701 ledelsesklausulens politikker og kontroller.

Til vores seneste revision, efter åbningsmødet sluttede, tog vores IMS-manager direkte kontakt med revisoren for at gennemgå ISMS- og PIMS-politikkerne og -kontrollerne i henhold til tidsplanen. IMS Manageren faciliterede også samarbejdet mellem revisor og bredere ISMS.online-teams og -personale for at diskutere vores tilgang til de forskellige informationssikkerheds- og privatlivspolitikker og -kontroller og opnå beviser for, at vi følger dem i den daglige drift.

På den sidste dag er der et afsluttende møde, hvor revisor formelt præsenterer deres resultater fra revisionen og giver mulighed for at diskutere og afklare eventuelle relaterede spørgsmål. Vi var glade for at konstatere, at selvom vores revisor rejste nogle bemærkninger, opdagede han ikke nogen manglende overholdelse.

Mennesker, processer og teknologi: En trestrenget tilgang til en IMS

En del af ISMS.online Etos er, at effektiv, bæredygtig informationssikkerhed og databeskyttelse opnås gennem mennesker, processer og teknologi. En teknologisk tilgang vil aldrig blive en succes.

En teknologisk tilgang fokuserer på at opfylde standardens minimumskrav i stedet for effektivt at håndtere databeskyttelsesrisici på lang sigt. Men dine medarbejdere og processer, sammen med et robust teknologisetup, vil sætte dig foran flokken og væsentligt forbedre din informationssikkerhed og databeskyttelseseffektivitet.

Som en del af vores revisionsforberedelse sikrede vi for eksempel, at vores medarbejdere og processer var tilpasset ved at bruge ISMS.online policy pack-funktionen til at distribuere alle de politikker og kontroller, der er relevante for hver afdeling. Denne funktion muliggør sporing af hver enkelt persons læsning af politikker og kontroller, sikrer, at enkeltpersoner er opmærksomme på informationssikkerhed og privatlivsprocesser, der er relevante for deres rolle, og sikrer overholdelse af registre.

En mindre effektiv afkrydsningsboks tilgang vil ofte:

• Involver en overfladisk risikovurdering, som kan overse væsentlige risici
• Ignorer nøgleinteressenters bekymringer om privatlivets fred.
• Lever generisk træning, der ikke er skræddersyet til organisationens specifikke behov.
• Udfør begrænset overvågning og gennemgang af dine kontroller, hvilket kan resultere i uopdagede hændelser.

Alle disse åbner organisationer op for potentielt skadelige brud, økonomiske sanktioner og omdømmeskader.

Mike Jennings, ISMS.online's IMS Manager rådgiver: "Brug ikke kun standarderne som en tjekliste for at opnå certificering; 'lev og ånd' dine politikker og kontroller. De vil gøre din organisation mere sikker og hjælpe dig med at sove lidt nemmere om natten!"

ISO 27701 køreplan – Download nu

Vi har lavet en praktisk køreplan på én side, opdelt i fem nøglefokusområder, for at tilgå og opnå ISO 27701 i din virksomhed. Download PDF'en i dag for en simpel kickstart på din rejse til mere effektiv databeskyttelse.

Hent nu

Lås op for din compliance-fordel

At opnå gencertificering til ISO 27001 og ISO 27001 var en betydelig præstation for os på ISMS.online, og vi brugte vores egen platform til at gøre det hurtigt, effektivt og uden afvigelser.

ISMS.online giver et forspring på 81 %, Assured Results Method, et katalog over dokumentation, der kan vedtages, tilpasses eller tilføjes, og vores virtuelle coachs altid-på support. Sørg nemt for, at din organisation aktivt sikrer dine oplysninger og databeskyttelse, forbedrer løbende sin tilgang til sikkerhed og overholder standarder som ISO 27001 og ISO 27701.

Opdag fordelene på første hånd – anmod om et opkald med en af ​​vores eksperter i dag.