Hvis du overvejer en ISO 27001 dokumentværktøjssæt, læs dette først. 2011 var et år, hvor der skete ret meget. Et kongeligt bryllup, et arabisk forår, Amy Winehouse døende (sammen med mange andre bemærkelsesværdige karakterer) og nogle frygtelige jordskælv rundt om i verden. Vi havde også vores første jordskælv Alliantist også (relativt set var det et grimt chok); et behov for at opnå ISO 27001. Og opnå det med en uafhængig UKAS certificering at tilfredsstille vores vigtigste kunde. Så vi nikkede til kunden og gik væk for at finde ud af, hvad der var involveret. Rystelserne fortsatte et stykke tid bagefter.
På det tidspunkt (mange år før vi udviklede ISMS.online) havde vi bogstaveligt talt ingen idé om, hvad et informationssikkerhedsstyringssystem (ISMS) var, og vi vidste intet om ISO 27001. Den involverede kunde elskede vores specialistpam sikker cloud-softwaretjeneste og fortalte os, at ISO 27001 informationssikkerhedsstyringssystemet standard blev nødvendigt, fordi de så vores platform som afgørende for at dele mere følsomme oplysninger end før.
Vi gjorde, hvad de fleste gør, når de skal undersøge noget; søg på nettet. Vi måtte også håbe, at der var en hurtig ISO 27001 implementeringsgevinst tilgængelig til en pris, vi havde råd til, fordi omkostningerne ikke var indregnet i aftalen indgået med kunden, og vi var nødt til at gøre det ret hurtigt. Når alt kommer til alt, hvem budgetterer med et informationssikkerhedsstyringssystem, når de ikke forstår, hvad der er involveret?
Tidlige søgninger førte os til at forstå, at det var vigtigt at have ISO 27001-dokumentation. Det førte til søgninger efter gratis ISO 27001-dokumentationsskabeloner, gratis ISO 27001-værktøjer og ISO 27001-dokumentværktøjssæt sammen med databeskyttelsesværktøjssæt. Og vi tjekkede også de betalte ting ud, som vi alle ved, gratis er sjældent i praksis. Internettet og dette emne er tydeligvis kommet på vej på 8 år, og det samme er regulering med ting som GDPR, hvilket betyder, at informationssikkerhedsstyring er endnu vigtigere for alle nu, ikke kun for den uddannede kunde. Det er let at grine af vores naivitet nu, men som et resultat af markedsføringen og vores manglende viden blev vi koblet ind i den første tiltrækning af ISO 27001 dokumentværktøjssæt som 'det hurtige fix' for at få vores uafhængige ISO-certificering.
Så vi købte et 'omfattende værktøjssæt' fra en velkendt leverandør af informationssikkerhedsstyring og troede, at vi havde gjort det godt, kun brugt omkring 1,000 £. Så købte vi ISO 27001- og ISO 27002-standarderne, som var omkring 100 £ hver. Den sidstnævnte beslutning var afgørende for os af mange grunde, ikke mindst for at forstå standardstrukturen, nummereringen og være meget mere klar over, hvad alle forventningerne var.
Værktøjssættene viste sig at være et dårligt omfang af grundlæggende excel- og word-dokumenter med gammeldags versionskontrolmekanismer og ingen klarhed over, hvad vi skulle gøre næste gang. Kunne vi bare justere disse ISO 27001-skabeloner, dumpe det ind på et Google-drev eller sharepoint-websted og vise den eksterne revisor, at vi var klar til vores trin 1-revision? Ikke helt. Vi spildte en masse tid på at prøve at finde ud af det. Alternativomkostningerne for vores konsulentdagpris var ved at blive betydelige, og vi var ikke tættere på målet om et certificeret ISMS, som vores kunde kunne stole på.
Ved nærmere eftertanke er det analogt med køb af en paraply til at løse en jordskælvsrisiko; et muligvis nyttigt aktiv, men langt fra nok, og du kunne have brugt disse penge mere effektivt. Måske er det endda et ansvar, hvis du også skulle blive stukket i øjet af den spidse paraply, når du var usikker på, hvad du skulle stille op med den under jordskælvet... Jeg skubber åbenbart analogier og blander mine metaforer en smule langt. Den bogstavelige pointe er, at ISO 27001-dokumentation i sig selv ikke er nok, og ISO-standardeksperterne har klart udtalt, at et 'ledelsessystem' er det vigtige at opnå.
Download din gratis guide til hurtig og bæredygtig certificering
Vi har bare brug for et par detaljer, så vi kan e-maile dig din guide til at opnå ISO 27001 første gang
Download din gratis guide nu, og hvis du overhovedet har spørgsmål Book en demo or Kontakt os. Vi hjælper gerne.
Vores ISMS leveres præ-konfigureret med værktøjer, rammer og dokumentation, du kan adoptere, tilpasse eller tilføje til. Enkel.
Vores sikrede resultater metode er designet til at få dig certificeret på dit første forsøg. 100% succesrate.
Glem alt om tidskrævende og dyr træning. Vores Virtual Coach-videoserie er tilgængelig 24/7 for at guide dig igennem.
Trækker det konceptet med 'værktøjssæt' og ISO 27001-værktøjer for langt, når du kun får en masse dokumenter og regneark? Måske, selvom wikipedia nævner regneark som et eksempel på et værktøj! Så er der selve 'værktøjskassen' og 'værktøjskassen', som betyder forskellige ting for forskellige mennesker.
Forestil dig dette for dit værktøj og dit værktøjssæt: det ser tiltalende ud, men det er usandsynligt, at du klarer arbejdet godt, medmindre du er omkring fire år gammel.
I modsætning til dette for dine værktøjer og værktøjssæt: omfattende, ja organiseret og hurtig til at finde det, du har brug for når du vil have det og nemt at bruge af uerfarne fagfolk. Men det kan også koste meget mere og ikke være det, du virkelig har brug for.
I virkeligheden når informationssikkerhed e-handelssider og konsulenter taler om værktøjssæt, hvad de egentlig mener er ISO 27001 dokumentation. Den faktiske indholdskvalitet, omfang og vejledning med det kan variere fra:
Ingen af disse opnår faktisk ISO 27001 succes alene, og de skaber heller ikke et informationssikkerhedsstyringssystem i sig selv.
ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.
Informationssikkerhedschef, Honeysuckle Health
For at opnå ISO 27001 og få en uafhængig certificering er der behov for at beskrive og demonstrere dokumentation (indhold), der fungerer i praksis for omkring 140 specifikke aktiviteter. Det inkluderer forberedelse, møde ISO 27001 kernekravklausuler og adressering af bilag A kontroller. Så én ting er at have dokumentationen, at vise, at den er relevant for din organisation, og at du lever ledelsessystemet i praksis er en anden.
Det er derfor vigtigt at kvalificere nøje, hvad der præcist er inkluderet i et dokumentationsværktøj. Du ønsker ikke at få en Bob the Builder delvis værktøjskasse med kvalitetspasning til en fire-årig bruger, når det, du virkelig ønskede, var det voksne omfattende Snap-on værktøjssæt. Ligeledes, hvorfor købe et omfattende værktøjssæt, når du allerede har skruenøglen og hammerækvivalenterne. I praksis er det meget få organisationer, der rent faktisk starter deres implementering fra nul. Vi har skabt en ISO 27001 implementeringstilgang kaldet ARM; det Metode med sikre resultater. Det hjælper organisationer med at opnå standarden ved at bygge videre på det, de allerede har, og være pragmatisk i deres tilgang til ISO 27001-certificering.
Det afhænger af kvaliteten og omfanget af det, du har købt, og hvad du ellers skal bruge for at betjene og administrere dit ISO 27001-ledelsessystem. Du vil nemt kunne adoptere, tilpasse og tilføje dokumentation og værktøjer for at gøre det relevant for din organisations ønskede måde at arbejde på.
Med teknologiens kraft og overkommelige pris, vil du gerne have en digital ledelsessystem til at hjælpe med at koordinere og kontrollere din dokumentation, der viser, at du gennemgår den regelmæssigt, samt 'lever og ånder' alle relevante krav og kontroller på den måde, standarden forventer. Selvom der er mange forskellige måder at gøre det på, har vi identificeret, hvad vi anser for at være nøglekarakteristika ved ISMS-software.
En skræddersyet hands-on session baseret på dine behov og mål
ISO 27001-dokumentation er vigtig, og som nævnt ovenfor, sandsynligvis den første ting, som folk søger efter selv i dag, når de er nye til standarden. Mange henvendelser, som vi modtager i dag til ISMS.online, starter med kommentaren "Vi har for nylig købt et dokumentværktøjssæt, men indser nu, at det ikke var, hvad vi troede, det var..." Desværre vil de fleste af disse organisationer, ligesom vi gjorde, næsten helt sikkert have spildt £500-1500 og deres tid på at komme til den position.
Det er virkelig vigtigt, at du ikke kun beskriver indholdet, men også demonstrerer, at uanset hvad politik og kontrol dokumentation, du bruger, hvilket er tydeligt i dens operationelle brug. For eksempel hvis din politik siger, at du bruger 2-faktor-godkendelse og har systemer administratorrettigheder, sørg for, at du kan vise dem i praksis til en revisor.
Du kan ikke bare have en risikostyringsmetode i et selvstændigt dokument, du skal identificere og styre risici regelmæssigt i praksis – hvis det er svært at følge denne politik i praksis eller ikke vil ske, fordi politikken eller værktøjet er klodset, vil din certificeringsindsats vil mislykkes. Derfor kan dokumentationsværktøjssæt være et aktiv eller en forpligtelse, alt efter hvad du køber, hvor du får det fra, og hvordan du bruger det. Advarsel emptor!
Vi har tænkt længe og grundigt over, hvilket niveau og omfang af supplerende dokumentation, der skal leveres med ISMS.online, for dem, der ønsker et forspring. Vi endte med den opfattelse, at vi 'hånd på hjertet' kan hjælpe organisationer med op til 77 % fremskridt på alle deres krav og kontroldokumentation i det øjeblik de logger på, hvor vores materiale er så nemt at adoptere, tilpasse og tilføje i forhold til andre. Det reducerer tidsforbruget betydeligt og sparer en enorm mængde penge. Feedback fra kunder tyder på, at det er den mest omfattende materialepakke der findes, især når det suppleres med vores Virtual Coach-service og ARM, der hjælper med at accelerere ISO 27001-implementeringen.
Mere markant sørgede vi for, at alt indholdet danner praktisk og brugbar dokumentation i ISMS.online-styringssystemet. Når alt kommer til alt, skal du have et informationssikkerhedsstyringssystem for at opnå ISO 27001, og et dokumentværktøjssæt er bare ikke nok, uanset hvor godt det er. Vi fandt ud af det til vores betydelige omkostninger for mange år siden, og det er en skam, at andre stadig falder i sprækkerne (tilbage til det jordskælv;), men med ISMS.online nu tilgængelig, behøver du ikke at være en af dem.
Book en skræddersyet hands-on session baseret på dine behov og mål.