ISO 27001 implementering – 4 nøgleudfordringer og hvordan man overvinder dem
Hvis du har anerkendt fordelene ved ISO/IEC 27001:2013, mere almindeligt kendt som ISO 27001 – fra lovmæssige, regulatoriske og kontraktmæssige krav til nye forretningsmuligheder – og overvejer, hvordan du vil styre implementeringen, har vi skitseret nogle af de vigtigste udfordringer, som vi står over for, og hvordan de kan overvindes.
- Ressourcer til din implementering – uddanne, rekruttere eller anskaffe?
- Hvordan håndterer vi forstyrrelser i virksomheden?
- Hvordan sikrer vi, at ISO 27001 ikke kun er en afkrydsningsøvelse?
- Sådan gør du implementeringen af ISO 27001 mindre skræmmende
1. Ressourcer til din implementering - træne, rekruttere eller indkøb?
Med betydelige fordele ved at have ISO 27001 certificering, bør du overveje dine muligheder omkring ressourcer omhyggeligt.
Udfordringen for mange virksomheder er ofte ikke at have den interne erfaring og ekspertise til at styre ISO 27001-implementeringen, og disse er de muligheder, der typisk overvejes:
- Uddanne eksisterende personale
- Rekrutter en informationssikkerhedsekspert
- Engager konsulenter
- Brug ISO 27001 dokumentværktøjssæt
- udseende software til styring af informationssikkerhed
Disse kan betragtes som selvstændige eller kombinerede muligheder, afhængigt af størrelsen og kompleksiteten af din virksomhed.
For mange virksomheder er der ofte en ekstern driver at være ISO 27001 certificeret hvilket igen prioriterer en hurtig implementering. Dette kan påvirke beslutningen om hvordan ressourceinformationssikkerhed ledelse ganske betydeligt.
Information Security Management System (ISMS)
Et ISO 27001-kompatibelt informationssikkerhedsstyringssystem giver en systematisk tilgang til at opbygge et solidt grundlag for at demonstrere overholdelse af eller opnå ISO 27001-certificering samt andre nationale og internationale regler.
En ISMS:
- Demonstrerer dit engagement i informationssikkerhedsstyring
- Indlejrer informationssikkerhedsstyring som en disciplin i dine business-as-usual-processer
- Opmuntrer til samarbejde og ansvarsdeling
- Styrer en køreplan til implementering, drift og løbende forbedring
Et softwarebaseret ISMS giver et levende sæt af politikker og procedurer i din organisation, som er lagret centralt, helst i en cloud-baseret platform.
Dette er grunden til, at en ISO 27001 dokumentværktøjskasse kommer til kort. Selv de mest 'omfattende' værktøjssæt er i det væsentlige Microsoft Excel- og Word-dokumenter med utilstrækkelige versionskontrolmekanismer og ingen klare næste trin til ISO 27001-implementering.
2. Hvordan håndterer vi forstyrrelser i virksomheden?
Når man går i gang med at arbejde hen imod en ISO 27001 certificering, vil udfordringen ofte være, hvordan du kører dette sammen med alt andet med minimal afbrydelse, mens du bevarer momentum og opnår certificering inden for dine tidsskalaer.
Arbejd som et team
Du kan ikke implementere ISO 27001 alene; du bliver nødt til at arbejde sammen som et team.
Spred ansvaret og belastningen ud i hele virksomheden i stedet for at skabe en informationssikkerheds-"silo", hvilket nogle gange kan ske, når en informationssikkerhedskonsulent hentes ind. Dette vil minimere forstyrrelser, og rejsen mod og ud over ISO 27001-implementeringen er ofte mere effektiv og effektiv.
Ikke kun dette, men virksomheder, der nærmer sig ISO 27001 på en velovervejet og holistisk måde, forbliver certificerede ved at demonstrere, at alle handler ordentligt i deres daglige, business-as-usual operationer.
Kommuniker godt
Under ISO 27001-implementeringen skal du kommunikere tidligt, kommunikere klart, kommunikere konstant – tag alle med på rejsen. Hvis informationssikkerhedsstyring kommer i vejen, gør du det sandsynligvis forkert.
3. Hvordan sikrer vi, at ISO 27001 ikke bare er en afkrydsningsøvelse?
Top-down støtte
For virkelig at gøre rejsen effektiv, skal en organisation vedtage en kulturel forandring, der skal drives fra toppen med buy-in fra alle øverste ledelser.
Strømline med software
Brug software til styring af informationssikkerhed, som guider dig gennem ISO 27001 implementering – med skabeloner, rammer og politikker, som du kan skræddersy.
Mellem dine ISO 27001 uafhængige revisioner forventes du at lave dine egne interne revisioner (Punkt 9.2) og ager på resultaterne, så indbygg styring af informationssikkerhed i forretningsprocesser ved konstant at gennemgå og optimere dit ISMS for at sikre løbende modenhed.
Forpligt dig til certificering
ISO-revisorer foreslår typisk, at ISO 27001-certificering kan tage seks måneder eller mere – men der er hurtigere og mere bæredygtige måder at opnå det på.
Vores Assured Results Method (ARM) er en måde at sikre, at du opnår succes. Vores metode giver en pragmatisk, risikobaseret tilgang, der bygger på de politikker, du allerede har på plads, mens du planlægger fremtidige forbedringer.
Hvor lang tid det tager for dig afhænger af dine mål. Hvis du har en stram deadline, med en potentiel kundekontrakt, der følger med, så skal du forpligte dig til en hurtig implementering for at høste belønninger ved ISO-certificering.
ISMS.online fremskynder implementeringen af ISO 27001. Med sin brugbare ISO 27001 politikker og kontroller dokumentation, du hurtigt kan adoptere, tilpasse og tilføje til, det giver fremskridt på op til 77% mod standarden, i det øjeblik du logger på.
4. Hvordan man gør implementeringen af ISO 27001 mindre skræmmende
Selvom fordelene er spændende, kan det mildt sagt være komplekst og skræmmende at tackle ISO 27001 for første gang.
Stræb ikke efter 'perfekt sikkerhed'
Mens ISO 27001 stiller krav til, hvordan dit informationsstyringssystem skal implementeres og drives, behøver det ikke at være perfekt.
En god måde at begynde på er at dokumentere, hvad du gør i dag – og du vil allerede gøre nogle ting – mens du identificerer og registrerer forbedringer for fremtiden, som yderligere vil reducere dine risici til acceptable niveauer.
Så længe du er i betragtning af den komparative risiko niveauer – hvor stor risiko for ikke at implementere en kontrol i forhold til hvor stor risiko for virksomheden ved at implementere kontrollen – du er på rette vej.
Husk, vær pragmatisk, ikke "perfekt", når du vælger og dokumenterer dine kontroller.
Nøglemålet er at sikre, at din sikkerhedsstyring er fuldt ud i overensstemmelse med ISO 27001, samtidig med at du sikrer pragmatiske, effektive og effektive kontroller til at styre dine risici til et acceptabelt niveau.
