ISO 27001-certificering, forenklet

ISO 27001-certificering

Certificering viser en organisations forpligtelse til løbende forbedring, udvikling og beskyttelse af informationsaktiver/følsomme data ved at implementere passende risikovurderinger, passende politikker og kontroller.

En ISO 27001-certificeret organisation annoncerer til den verden, de har tillid til, har implementeret et informationssikkerhedsstyringssystem (ISMS) i overensstemmelse med paragraf 4.4 i standarden og har demonstreret overholdelse over for en ekstern revisor/uafhængigt ISO-certificeringsorgan, f.eks. UKAS.

ISO 27001-certificering er en virksomhedsdifferentiering og demonstrerer over for andre virksomheder, at de kan stole på din organisation til at administrere værdifulde tredjepartsinformationsaktiver/data og intellektuel ejendom; dette fremmer et væld af nye muligheder, samtidig med at du beskytter din virksomhed mod risikoeksponering.

ISO 27001-standarden er den internationalt anerkendte best practice-ramme for et ISMS

ISO 27001-anerkendelse er mest værdifuld for organisationer i Det Forenede Kongerige, når du bliver certificeret af et UKAS (United Kingdom Accreditation Service) akkrediteret certificeringsorgan, som uafhængigt vil revidere din organisation og give dig ISO 27001-certificering.

Andre certificeringsorganer, der kan sammenlignes med UKAS, findes internationalt, hvilket hjælper med at opretholde ISO/IEC 27001 Information Security Management-standarden, hvor som helst en organisation sigter efter at opnå ISO 27001-certificering. ISO 27001-certificering handler ikke kun om, hvilke tekniske foranstaltninger du sætter i gang. ISO 27001 handler om at sikre, at de forretningsmæssige kontroller og de ledelsesprocesser, du har på plads, er tilstrækkelige og står i rimeligt forhold til de informationssikkerhedstrusler og -muligheder, du har identificeret og evalueret i din risikovurdering. Og det skal alt sammen gøres med en forretningsstyret tilgang til informationssikkerhedsstyringsprocessen.

ISO 27001-certificering vs overholdelse

Organisationer, der er nye inden for informationssikkerhedsstyringssystemer, spørger ofte om forskellen mellem ISO 27001-certificering og overholdelse, især når de følger anerkendte standarder som ISO 27001.

Enkelt sagt kan overholdelse betyde, at organisationen følger ISO 27001-standarden (eller dele af den). ISO 27001 certificering betyder, at organisationens ISO 27001 Information Security Management System er blevet certificeret i overensstemmelse med standarden af ​​revisorer kendt som certificeringsorganer.

Hvorfor har du brug for ISO 27001-certificering?

ISO 27001-certificering gælder for enhver organisation, der ønsker eller er forpligtet til at formalisere og forbedre forretningsprocesser omkring informationssikkerhed, privatliv og sikring af sine informationsaktiver.

En virksomheds størrelse/omsætning dikterer ikke behovet for en organisations ISO 27001; selv de mindste virksomheder kan have indflydelsesrige kunder eller andre interessenter, såsom investorer, der leder efter de iboende garantier ved at have UKAS ISO 27001-certificeringstilbud.

Som et resultat af ISO 27001-certificering kan din organisation demonstrere, at dens medarbejdere, processer, værktøjer og systemer overholder en anerkendt ramme. Forestil dig en verden af ​​finansiel rapportering eller sundhed og sikkerhed uden standarder. Informationssikkerhed er en smule bagud for disse områder fra certificerings- og uafhængig revisionsperspektiv. Alligevel, med forandringstempoet, der accelererer for næsten alt, kommer mere innovative organisationer frem internt, især med deres forsyningskæde. Så du kan se på ISO 27001-certificering gennem to linser;

Tillid til dine leverandører

Som kunde har du brug for tillid til, at dine leverandører er certificerede til at hjælpe med at mindske dine forretningsrisici og udnytte muligheder, f.eks. fra mere konsistente, højere standarder og lavere samlede omkostninger og risiko for arbejde, du møder fra dem.

Opbygning af tillid til din virksomhed

Dine kunder bliver klogere; de kan lide, at du skal vide, at forsyningskæden er tilstrækkeligt beskyttet. Indflydelsesrige kunder kræver simpelthen ISO 27001-certificering og overfører risikostyringsprocessen ned i forsyningskæden. Der er også andre spinoff-fordele, endsige al den ekstra forretning, du vil vinde ved at blive certificeret til ISO 27001 i forhold til efternøler, der ikke er det. For eksempel vil velinformeret personale gerne arbejde for pålidelige mærker. Efterhånden som forsikringsselskaberne indhenter bedre arbejdsmetoder, burde det også betyde lavere præmier for organisationer med uafhængigt certificeret ISO 27001 Information Management System.

Fordelene ved ISO 27001-certificering

For alle interessenter er nøglebudskabet tillid og sikkerhed opnået fra eksternt revideret informationssikkerhedsstyring. ISO 27001-certificering giver flere fordele – for eksempel:

Fordele for dig

• Beskyt IP, brand og omdømme
• Vind flere forretninger fra nye og eksisterende kunder
• Reducer salgsomkostningerne
• Behold mere forretning
• Forbedrede processer, der fører til omkostnings- og tidsbesparelser
• Undgå bøder på grund af manglende overholdelse af lovgivningen (såsom GDPR)
• Undgå civile sager som følge af et databrud
• Undgå omkostninger til afhjælpende handlinger som følge af hændelser og/eller brud
• Tiltræk bedre personale

Fordele for dit personale

• Tillid til organisationens bæredygtighed
• Træning til arbejde (og hjemmesikkerhed)
• Klarhed gennem politikker og procedurer
• Stolthed over organisationen og deres rolle i at beskytte den

Fordele for dine kunder

• Tillid og sikkerhed i dig og din forsyningskæde
• Mindre sandsynlighed for et dyrt brud
• Reducerede omkostninger ved leverandør onboarding

ISO 27001-certificering: Er det det værd?

At gøre ingenting er sandsynligvis ikke en mulighed, hvis du får adgang til og administrerer værdifulde informationsaktiver, der ejes af andre. For nogle organisationer er hele deres forretning bygget på at udvikle eller administrere informationsaktiver.

Så i så fald betyder det at miste noget af eller hele den forretning eller ikke vinde mere i fremtiden sandsynligvis, at det er værd at investere i at blive certificeret til ISO 27001, især hvis kunder eller andre interessenter som investorer opfatter en risiko.

At opnå ISO 27001-certificering er ikke så kompliceret eller dyrt, som det plejede at være på grund af innovative løsninger som ISMS.online. Og på trods af mange af de strategiske og økonomiske fordele, betragter nogle ledere det stadig som et "nøgende"-køb og endnu en bureaukratisk afkrydsningsfeltøvelse. At opnå certificering betyder typisk en tids- og omkostningsinvestering; ligesom de fleste strategiske investeringer er det værd at overveje afkastet og bredere fordele.

Hvad er involveret i ISO 27001-implementering?

For at implementere ISO 27001 skal du udvikle et 'ledelsessystem', der består af mennesker, processer og teknologi.

For menneskers del har du brug for lederskab til at guide implementeringen for at opfylde forretningsmålene, kulturelle normer, regelmæssige anmeldelser og vise, at organisationen tager det seriøst. Revisorer vil gerne se 'ånden fra ISO 27001' anvendt såvel som dokumenterne på dette seniorniveau, så en direktør, der går ind i en revision og foregiver at forstå ISO 27001 Information Security Management System, er også en opskrift på katastrofe.

Du skal også bruge folk, der forstår din virksomhed med kapacitet, kapacitet og tillid til at opfylde kravene. 'People'-investeringen bestemmes af den teknologi, der bruges til at implementere og vedligeholde ISO 27001 Information Security Management System (ISMS).

For eksempel skal du bruge:

• En digital eller papirbaseret løsning til at beskrive, hvordan du opfylder kernekravene i ISO 27001, og hvordan det styres over tid (du bliver revideret mindst årligt – se yderligere nedenfor).
• Det er et lignende miljø at dokumentere og administrere alle de udviklede kontroller og politikker i bilag A og derefter sikre, at de bliver gjort tilgængelige for de personer, de ansøger til. Du kan bevise, at de er opmærksomme på dem og engagerede (husk, at disse mennesker kan være medarbejdere og leverandører). Skriv heller ikke bare kontroller og politikker for dets skyld. De bør alle være baseret på de problemer, som din organisation står over for, dine interesserede parters forventninger, dit omfang og dine grænser (f.eks. produkter, lokationer osv.) og de informationsaktiver, du ønsker at beskytte. Du skal også 'vise dit arbejde' her og dokumentere alt det. Det bliver svært at gøre det godt og vedligeholde det over tid med kun word-dokumenter, regneark og et fællesdrev.
• Dit ledelsessystem vil have alle de værktøjer, der understøtter dette arbejde, dokumenteret og let fulgt af revisor.
  Disse aktiviteter bliver alle risikovurderet (med dit risikostyringsværktøj) for at hjælpe dig med at bestemme, hvilke af bilag A kontrolmålene du skal implementere, hvilket uden at blive for teknisk på dette trin fører til din erklæring om anvendelighed. Sagde jeg allerede, at du skal demonstrere dette for en revisor for at blive certificeret til ISO 27001?
• Et dokumentsæt kan hjælpe, hvis det er handlingsvenligt, dvs. du praktisk talt kan bruge det, og det er nemt at adoptere, tilpasse og tilføje til. Det bør også integreres i den teknologiske løsning.
• Hvis du stoler på forsyningskæden, skal du vise, hvordan du kontrollerer disse leverandører og især deres kontrakter (det er også et grundlæggende krav til GDPR-overholdelse!)
• Kontrolmålene og -kravene forventer en beskrivelse af tilgangen (f.eks. politik for, hvordan sikkerhedshændelser skal håndteres) og demonstration heraf (dvs. sporingen af ​​sikkerhedshændelser med alle dens hændelser, hændelser og svagheder, detaljer og beviser, der også er let tilgængelige).

Planlæg, gør, kontroller, handling

Anerkendte tilgange til implementering af et system inkluderer PDCA-tilgangen (Plan, Do, Check, Act). Det var en standard kvalitetsstyringstilgang, men er måske lidt passé i sin bogstavelige form.

2013/17-versionen af ​​ISO 27001 faciliterede en mere agil og dynamisk proces, der understøtter løbende evaluering og forbedring af ledelsessystemet, så mere en real-time PDCA og sammenblanding af PDCA-ordren også for en pragmatisk agil tilgang. Organisationer har almindeligvis denne form for dynamisk tilgang til deres operationelle sikkerhedssystemer, f.eks. firewalls, netværksscannere osv. Det er mere egnet til det stadigt skiftende moderne risikolandskab. Et veladministreret informationssikkerhedsstyringssystem vil være et meget mere agilt, dynamisk og kontinuerligt overvåget ISMS i fremtiden.

1. Plan for ISO 27001 implementering

Når du tilføjer mere kontekst og struktur til din ISO 27001-implementeringsplan, bør den ledende implementer overveje følgende aspekter:

• Vær klar over målene, tvingende grunde til at handle og eventuelle deadlines, du ønsker at ramme – såvel som konsekvenserne, hvis det skrider.
• Identificer overskriften RoI, så du kan anvende de rigtige mennesker og lederskab – det vil også hjælpe budgetudviklingen, hvis det er nødvendigt.
• Hvis teamet er nyt for ISO 27001, så køb ISO-standarderne og ISO 27002-vejledningen og læs det – sammenlign dit nuværende interne miljø med det, der kræves for succes (en let gap-analyse). Mange af kravene, processerne og kontrollerne er muligvis allerede på plads og skal formaliseres. Du har muligvis ikke brug for ekstern træning eller ledende auditør-implementeringsprogrammer - disse kan være spild og negativt påvirke, hvordan du ønsker, at dit informationssikkerhedsstyringssystem skal fungere som et praktisk ISMS.
• Overvej prækonfigurerede teknologiløsninger og værktøjer til at sammenligne, om det er bedre end det, du allerede har internt, og bedre udnyttelse af dine værdifulde ressourcer. Nogle af disse løsninger, som f.eks. ISMS.online, har allerede alle de værktøjer, du har brug for, og inkluderer handlingsvenlig dokumentation, som du kan anvende, tilpasse og tilføje til et massivt forspring, og tilbyder virtuel coaching og træning i at opnå certificering.
• Kom i gang ... og bryd alt arbejdet ned i små bidder og fejr kraften i små gevinster. At se hyppige fremskridt mod 100 % fuldstændighed er smitsomt, så husk at finde en synlig, gennemsigtig og samarbejdsløsning til at dele disse små succeser!

2. Tag fat på nøgleelementerne i ISO 27001-standarden

ISO 27001 kan udføres bottom-up ved at tage en politikstyret tilgang, blot at skabe dokumentation for bilag A-kontroller. Den mere strategiske og forretningsledede tilgang følger dog i store træk den måde, ISO 27001 er skrevet og logisk på. Vi har opsummeret det ganske enkelt som følger:

• Se på de problemer, din organisation står over for, og forstå behovene hos interesserede parter (interessenter); især identificer informationsaktiverne så tidligt som muligt (du får mere detaljeret med dem senere).
• Indstil grænserne og omfanget af ISMS.
• Definer din organisations sikkerhedsmål fra dens ISMS.
• Indfør muligheden for regelmæssige implementeringsgennemgange, revisioner og evalueringer for at vise, at du har kontrol og dokumenter (kort) fra dag 1 af implementeringen for at dele denne rejse med revisoren og for erfaringer.
• Identificer risiciene for disse informationsaktiver og udfør risikovurderinger – hvis der mangler ressourcer, anbefaler vi, at du prioriterer informationsaktiver med højere risiko og mere væsentlige trusler mod CIA baseret på sandsynlighed og virkning.
• Lav en risikobehandlingsplan for hver risiko. Hvor det er relevant, skal du vælge bilag A kontrolmål og kontroller, der skal implementeres, og adressere disse risici – ideelt set skal du forbinde dem, så du ved, at dine aktiver, risici og kontroller passer sammen. Hvis du ændrer eller gennemgår en del, kan du se indvirkningen på de relaterede dele.
• Forbered din erklæring om anvendelighed – dette fanger mange mennesker, men det er et obligatorisk krav og kan spilde masser af tid.

Husk at dokumentere alt og vise, at hele systemet arbejder med den regelmæssige evaluering.

3. Evaluer din ISO 27001 i overensstemmelse med standarden og dens parathed til at opnå certificering

Det er afgørende at have målinger og anmeldelser på plads for at sikre, at dit ISMS opfylder sine mål. ISO 27001 indeholder krav om, at planlagt evaluering kan finde sted i form af:

• Ledelsesanmeldelser
• Interne revisioner
• Eksterne revisioner – hvor det er relevant, kan dette være fra et ISO 27001-certificeringsorgan eller kunder eller konsulenter

4. Forbedre dit ISMS efter behov, og organiser fase 1-audit af det eksterne certificeringsorgan

Den løbende forbedringsproces er nøglen til ISO 27001-succes og er noget, som revisorer vil se for at se beviser på.

Sikkerhedstrusler og sårbarheder ændrer sig hurtigt, som i mange tilfælde gør organisationer vækst eller mål. En virksomhed skal demonstrere sin forpligtelse til at tage korrigerende handlinger og foretage forbedringer af sin ISMS. Implementeret korrekt, vil dit ISMS være en forretningsmuliggørende snarere end at begrænse, hvordan du vil drive din virksomhed.

Hvordan bliver jeg ISO 27001 certificeret?

Efter at have implementeret dit informationssikkerhedsstyringssystem og gennemført de første ledelsesgennemgange af ISMS og begyndt at efterleve tilgangen i praksis, vil du være godt på vej til at blive certificeret til ISO 27001.

Det er en to-trins proces at blive certificeret med United Kingdom Accreditation Service's akkrediterede standard:

Fase 1 revision

Enkelt sagt vil certificeringsorganets revisor gerne se dokumentationen til informationssikkerhedsstyringssystemet, og at du har opfyldt kravene, i det mindste i teorien! Det er mere en desktop-gennemgang af ISMS med revisoren på dette trin, der dækker de obligatoriske områder og sikrer, at standardens ånd bliver anvendt. Fremsynede certificeringsorganer begynder at gøre dem eksternt, hvilket sænker omkostningerne og fremskynder processen.

Resultatet af denne øvelse er en anbefaling om trin 2-revisionsberedskab (måske med observationer, der skal revurderes under trin 2-revisionen) eller et behov for at løse eventuelle afvigelser, der er identificeret, før yderligere fremskridt kan ske.

Afhængigt af din status for interne revisioner, kan du blive bedt om at gennemføre en fuld intern revision før fase 2. Vi foreslår, at du aftaler detaljer med dine revisorer, da nogle leder efter lidt forskellige ting – det er lidt ligesom fodboldregler, hvor dommere fortolker dem forskelligt . Sørg for at spørge dem! En god revisor vil have dig til at få succes og hjælpe dig med at forstå, hvad de forventer at se for en fase 2-revision.

Mange organisationer fejler i trin 1, og det er af en række almindelige årsager, som generelt nemt kan løses med en god informationssikkerhedsstyringssystemløsning (medmindre din ledelse ikke er engageret, så hjælper intet med ISMS!)

Fase 2 revision

Det er her, revisorerne vil begynde at lede efter beviserne for, at det dokumenterede Information Security Management System bliver efterlevet og åndet i praksis. Dit personale vil blive engageret, interviewet; ISO 27001-revisoren vil vurdere dit omfang omkring den fysiske placering, systemer, processer og procedurer. Som de fleste revisioner vil det være en stikprøvestørrelse, og hvis du kan lede revisoren med et samlet system, vil de tage stor tillid til det.

Resultatet af denne øvelse er enten bestået eller ikke bestået. Hvis du består, har du det højt værdsatte certifikat, du begår ikke, og du vil have arbejde tilbage omkring afvigelser, før du kan genindgive til endnu en revision eller en specifik gennemgang af afvigelsen.

Hvor meget koster ISO 27001-certificering?

Certificeringsrevision er ikke de overordnede omkostninger, du skal overveje. Den højeste omkostning er tiden og indsatsen for at opnå certificering fra de personer, der er involveret i den første opbygning af dit informationssikkerhedsstyringssystem og vedligeholdelse af ISMS år efter år derefter.

Det kan have alternativomkostninger til indtægtstab fra seniorressourcer, kernekompetence-distraktion for virksomheden og højere omkostninger til rådgivning, hvis du henter hjælp udefra uden et stærkt teknologisk udgangspunkt.

Certificeringsomkostninger er dog stadig værd at overveje og er baseret på din organisations størrelse, omfang, processer osv. De fleste certificeringsorganer giver enten et hurtigt tilbud online eller en opfølgning.

ISO 27001 certificeringsomkostninger bør overvejes over en 3-årig certificeringscyklus:

• Indledende audit og certificeringsaudit – trin 1 og 2
• Overvågningsrevisioner for år 1 og 2
• Derefter fortsætter cyklussen igen, med gencertificering hvert tredje år.

Revisionsgebyrer er typisk omkring £1,000 pr. dag (ekskl. moms), og antallet af nødvendige dage varierer afhængigt af organisationens størrelse og omfanget af ledelsessystemet. For eksempel kan en lille virksomhed med et simpelt omfang (f.eks. ét produkt, få processer, ét hovedkontor osv.) have brug for en dag til en fase 1-revision, to dage til en fase 2-revision og en ekstra dag pr. årlig overvågning.

Det er også værd at holde øje med mere innovative revisionsorganer, der er parate til at se på fjernkontrol i fase 1. Dette vil sandsynligvis kun blive overvejet, hvor ledelsessystemet holdes helt digitalt, som det er med ISMS.online. Det betyder, at det er nemmere for dem som revisorer at se implementeringen på arbejde. Dette vil spare omkostninger på de uundgåelige rejseudgifter og tid.

Vedligeholdelse af din ISO 27001-certificering

ISO 27001-certificering udføres over en 3-årig cyklus:

• Trin 1 og 2 derefter tildeling af certifikatet
• Overvågningsrevision 1 (normalt årligt eller kan være hyppigere baseret på omfang, risiko og størrelse)
• Overvågningsrevision 2
• Tredje års re-certificering og mere detaljeret evaluering

Det kan tage 4-6 uger at booke op hos et revisionsorgan, så husk den gennemløbstid, og vi anbefaler, at du finder en revisor, der er velbevandret i din branche og virksomhedsstørrelse. Ellers kan de være mere eller mindre dyre, men afgørende, hvis de ikke forstår udfordringerne i dit Information Security Management System fra et forretningsperspektiv, kan det være en smertefuld proces. Husk, at revisor generelt altid har ret (selvom du lettere kan demonstrere, hvorfor du har gjort noget og forklaret din risikovillighed, kontroludvælgelse osv., hvis du har et godt styret ISMS).