ISO-27001-certificering

Sådan vedligeholder du din ISO 27001-certificering

Guide til vedligeholdelse af din ISO 27001-certificering

Opretholdelse af ISO 27001: Selv med den bedste hjælp og support til rådighed, er det en udfordring at opnå ISO 27001-certificering. At finde det rigtige certificeringsorgan og komme igennem certificeringsprocessen kræver tid, kræfter og reelt organisatorisk engagement.

Så når det først er lykkedes, kan det være fristende at fejre og så bare lade være med at tænke på det hele.

Men ISO 27001 er ikke en brand og glem-standard. For at bevare din ISO 27001-certificering skal du gennemgå en treårig revisionscyklus.

Dit ISO 27001-certificeringsorgan vil holde nøje øje med din informationssikkerhedsstyringssystem eller ISMS. Det vil gennemgå regelmæssig ekstern vedligeholdelse audits under dine certificeringer tre-årig livscyklus. Du bliver nødt til at køre effektivt interne revisioner også. De er lige så stor en del af revisionsprocessen som din første certificering revisioner.

Og ved udgangen af ​​disse tre år skal du være klar til ISO 27001-gencertificering.

Her er vores fem bedste tips til at opretholde ISO 27001

Det siger vi altid godt informationssikkerhed er lidt som at passe på din bil.

For at blive ved med at køre glad og sikkert rundt, er du nødt til at holde styr på alt fra vejskat og forsikringer til almindelig service og MOT'er. Og du vil jævnligt tjekke alle de små detaljer, fra hvordan dine dæk er slidte, til om du er ved at løbe tør for ruderens.

Informationssikkerhed er ikke kun en boks, du krydser af. Det er en hel proces, der altid er i gang.

Husk, at dit ISMS er for livet, ikke kun for ISO 27001 certificeringsdagen

Den bedste måde at vedligeholde din ISO 27001 certificering er at gøre ISMS-pleje til en del af din daglige forretningsdrift. Jo mere du kan udjævne det hele, jo færre vedligeholdelsestoppe skal du bestige og trug vil du sidde fast i. Og jo sikrere vil dine dataaktiver være!

Start med at beholde dit ISMS' interne revisioner tøffer med. Prøv at lave en om måneden i elleve måneder. Det er meget bedre end at overlade dem alle til sidste øjeblik, og så pludselig opdage, at alle dine interne revisioner af ledelsessystem skal udføres et par dage før, dine eksterne revisorer ankommer.

Sørg for, at du udfører periodiske gennemgange på tværs af din organisation

Du er ikke den eneste, der skal holde øje med dit ISMS.

At involvere dine seniorledere gennem en regelmæssig ledelsesgennemgang er et centralt ISO 27001-krav. Der er ingen fast frekvens for dem. En om året anses for acceptabel, men for et korrekt administreret ISMS anbefaler vi at afholde ledelsesgennemgange mindst hver sjette måned.

Det vil hjælpe dig:

Hold seniorledere ajour med den hurtige verden af ​​datasikkerhed ved at dele detaljer om:

  • Eventuelle cybersikkerhedstrusler eller databrud, dit ISMS har håndteret
  • Din risikovurdering og risikostyring strategier
  • Andre ISMS- eller ISO 27001-relevante begivenheder og udviklinger

Vedligeholde deres buy-in og generel eller specifik support, så de:

  • Støt og drev bedste praksis på tværs af din virksomhed
  • Forbliv selv kompatibel med din ISMS
  • Ophold opmærksom på af eventuelle interne processer, der kræver deres involvering

Tag deres strategiske mål i betragtning, når du administrerer og udvikler dit ISMS, for at:

  • Vejlede dig, mens du løbende forbedrer det
  • Sørg for, at alle dine aktiviteter er på rette vej
  • Tjek ind på eventuelle tredjeparter, de har at gøre med på seniorniveau

Og hvis andre afdelinger tager sig af dele af dit ISMS, skal du sørge for at holde regelmæssig kontakt med dem. Det er meget frustrerende at være på toppen af ​​dit eget ansvar og så i sidste øjeblik opdage, at din menneskelige ressourcer, juridiske eller endda intellektuelle ejendomsrettigheder (for eksempel) har tabt bolden.

En undgåelig bruddet i en anden del af din organisation er en uvelkommen overraskelse, men med lidt best practice-adfærd er det nemt at undgå. Og det er den slags fremragende forretningsadfærd ISO-standarder er bygget til at definere og opmuntre.

Lad ikke ISMS-overholdelse falde fra dine kollegers radar

Vi anbefaler en løbende informationssikkerhedsbevidsthed og kommunikation programmer.

Du har sikkert allerede delt detaljer om ISO 27001-certificeringsprocessen. Et løbende kommunikationsprogram, der bliver ved med at køre efter certificering, vil hjælpe dine kolleger:

  • Vær opmærksom på sikkerhedskontrol der gælder for dem
  • Forbliv i overensstemmelse med dem
  • Hold et bredere øje med potentielle hændelser eller problemer

At lade dem vide, når dit ISMS har afværget cyberangreb eller håndteret andre informationssikkerhedsudfordringer, vil også hjælpe dem med at forstå dets værdi for din virksomhed.

Mulige kommunikationsaktiviteter omfatter:

  • Månedlige plakater, der deler detaljer om alle informationssikkerhedsangreb eller begivenheder
  • Almindelig spoof phishing-e-mails for at se, hvor mange der svarer passende
  • Løbende informationssikkerhedsuddannelse og genopfriskningssessioner
  • Sørg for, at de rigtige personer kan få adgang til relevante dele af din ISMS-dokumentation

Og det er bare til at starte med. Der er mange flere måder, hvorpå du kan sikre overholdelse på tværs af din organisation. Hvis du har et internt kommunikationsteam, anbefaler vi, at du opretter en regelmæssig gennemgangssession med dem. Og hvis du ikke gør det, skal du implementere dit eget ISO 27001 kommunikationsprogram.

Ret eventuelle ISMS-problemer, så snart de dukker op

En ikke-undersøgt ISMS er ikke værd at have. Så du holder konstant øje med det. Og når du identificerer problemer, logger du korrigerende handlinger og implementere et svar på dem. Det er der, mange organisationer glider op. De indsamler og logger handlinger, men mister derefter fokus og ignorerer dem bare. Gør ikke den fejl!

  • Hold altid styr på dine korrigerende handlinger.

Ikke at reagere på korrigerende handlinger er sandsynligvis den nemmeste måde at få en afvigelse ved din næste revision. Hvilket også gør det til et af de nemmeste problemer at undgå. Bare indbygg regelmæssige korrigerende handlingssessioner i din ugentlige og månedlige tidsplan. Hvorfor risikere revisionsproblemer, når det er så nemt at undgå

Hold øje med mulighederne for udvikling af ISMS

ISO-certificering kan dække meget mere end blot informationssikkerhed. Og opnå overholdelse eller certificering med andre standarder og regler vil booste:

  • Din organisations brand og effektivitet
  • Dit afkast af din investering i ledelse, risiko og overholdelse

Vi gør det nemt at udvikle dit ISO 27001 certificerede ISMS til et integreret ledelsessystem der dækker flere ISO og andre standarder. De omfatter:

  • Privatlivsstyring fokuseret på ISO 27701
  • Fokuseret på forretningskontinuitet ISO 22301

ISO-certificeringsprocessen ligner meget fra standard til standard, så når først du har opnået en certificering, vil det være en lettere opgave at få den næste. Hvis du har bygget et integreret ledelsessystem vha vores platform det vil være nemt at genbruge arbejde udført for én standard for at opnå en anden.

Og det handler ikke kun om ISO-certificering. Dit ISMS kan også hjælpe dig med at vise overholdelse af regler som f.eks GDPR og POPIA også.

Ofte stillede spørgsmål

Hvor længe varer ISO 27001-certificeringen?

Din organisations ISO 27001-certificering vil vare i tre år.

Hvad er fordelene ved at bevare din certificering?

Dit ISMS vil udvikle sig med eksterne trusler og din egen virksomheds vækst. Den forbliver robust, relevant og effektiv og minimerer risici for din organisations informationssikkerhed. Og selvfølgelig er det en præstation i sig selv at undgå uoverensstemmelser i løbet af din certificerings tre-årige levetid.

Er løbende revisioner en del af ISMS-vedligeholdelsesprocessen?

I løbet af den treårige levetid for din ISO 27001-certificering vil du gennemgå årlige eksterne audits fra dit certificeringsorgan og udføre dine egne interne audits. Vi anbefaler, at du udfører interne revisioner en gang om måneden, i stedet for at have travlt lige før din eksterne revision.

Kan dine kolleger hjælpe med at vedligeholde din certificering?

Ja. Når du har fejret certificeringen, skal du sørge for, at de forbliver opmærksomme på dit ISMS. De bør forstå, hvilke politikker og kontroller, der påvirker dem, og opretholde overholdelse af dem. Vi anbefaler at oprette kommunikationsprocedurer for at holde dem i kontakt med dine ISO 27001-systemer.

Kan dine seniorledere hjælpe med at opretholde din certificering?

Ja, det er vigtigt. At holde dine ledende virksomhedsledere involveret og i løkken under din certificering er et centralt ISO 27001-krav. Du skal bruge deres støtte og buy-in til at implementere, vedligeholde og udvikle dit ISMS. Og du skal sikre dig, at du er i overensstemmelse med deres strategi, og at de overholder alle relevante politikker og kontroller.

Kan dine leverandører hjælpe med at vedligeholde din certificering?

Hvis de virksomheder, din organisation arbejder med, falder inden for dit ISMS' anvendelsesområde, skal du demonstrere, at de overholder det. Det betyder at dele relevante dele af sin dokumentation med dem og sikre, at deres medarbejdere overholder alle relevante politikker eller kontroller.

Har dine kunder brug for at vide om dit ISMS?

Selvfølgelig ja! Det vil opbygge deres tillid til dig og hjælpe din virksomhed med at vinde nye kunder og fastholde eksisterende. Sørg for, at detaljerne i din ISO 27001-certificering er nemme at dele med andre virksomheder under din salgsproces, og hold dine kunder opdateret med eventuelle relevante sikkerhedsresultater.

Fordelene ved ISO 27001 »

Sidst redigeret: 26. januar 2022
Forfatter

Al Robertson

Al er en professionel forfatter og udgivet forfatter, der dækker en række emner. Han har skrevet en række artikler om compliance og især om informationssikkerhed, og hvordan ISO 27001-certificering kan hjælpe organisationer med at vokse.

Se alle indlæg af Al Robertson

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere