ISO 27001 Simplified: Assured Results Method (ARM) Vejledning

Implementerer du ISO 27001 og er du i tvivl om, hvor du skal starte?

Et af de mest almindelige spørgsmål, som organisationer, der er nye inden for informationssikkerhedsstyring, stiller, er 'hvor skal jeg begynde med ISO 27001: 2013?' For at opnå uafhængig certificering af den internationalt anerkendte standard er der omkring 140 ting, der skal gennemføres. Nogle tager 2 minutter, og andre kan tage dage eller uger, afhængigt af organisationens udgangspunkt og kompleksitet. Så det er ikke underligt, at travle personer kan føle sig overvældet og usikre på, hvad de skal gøre – og rækkefølgen til at gøre det i – mens de optimerer ressourcer, omkostninger og risiko.

Så hvad er de mulige veje til implementering af dit ISO 27001 ISMS?

En populær rute er 'informationssikkerhedsstyringsgab-analysen', hvor du vil bruge en masse tid og penge på at finde hullerne. Men du får stadig kun en hulanalyse (sandsynligvis med resultater i et svært at navigere og administrere regneark), ikke nogen bevægelse fremad, til at etablere din ismer. Der er en bedre måde.

En anden fælles vej er ved at undgå gap-analysen og bare gå i levering. Nogle organisationer starter med at oprette alle 93 Bilag A kontrollerer, at indføre politikker, processer og procedurer først. Dette er dog også suboptimalt og kan være tidskrævende, især hvis virksomheden ikke har nogen risici, hvor disse kontroller ville være anvendelige. Dette er en 'bottom-up' tilgang, og vi vil altid foreslå, at den følger 'top-down' kernekravene.

ISO-standarden begynder at føre dig gennem top-down-processen godt, hvis du starter fra begyndelsen med ISO 27001-kernekravene. Kernekravene (ledelsesklausuler) dækker imidlertid drift ud over implementering, så det vil aflede opmærksomheden til at overveje aktiviteter efter certificering (såsom overvågning, intern revision, gennemgang og forbedring), før du overhovedet begynder at betjene dit ISMS. Dette er bedre, men ikke den bedste måde, når du har travlt eller ønsker at følge den mest hensigtsmæssige vej. Der er en bedre måde at sikre resultater, der tager det bedste fra al den almindelige praksis og undgår spild fra en gap-analyse. Vi kalder det Assured Results Method – ARM.

Sigt efter pragmatisme ikke perfektion med din første ISMS

Ofte, men ikke altid, er der en ekstern drivkraft for opnåelse af ISO 27001, såsom et udbudskrav eller kundepres på grund af en ændring i risikoappetit med forsyningskæden (f.eks. på grund af cyberkriminalitet eller regulering som f.eks. GDPR). Disse udefrakommende chauffører betyder normalt stramme tidsskalaer, så perfektion er ofte det godes fjende, når det kommer til at opnå ISO 27001 certificering succes til en komprimeret deadline, især hvis efter en uafhængig certificering.

ISO 27001 handler ligesom de andre ISO-ledelsesstandarder om løbende forbedringer og er grundlæggende en risikostyringsbaseret standard. Så det at være pragmatisk omkring forretningsrisikoen (forudsat at det også er acceptabelt for kunderne), og at vise forbedringer som en del af ledelsessystemet, bliver godt modtaget af revisorer. Det viser også en organisationen er i kontrol og bevidst om sine risici. Som sådan understreger ARM det pragmatiske frem for det perfekte og giver dig mulighed for nemt at bygge videre på det, du har i dag. Derefter planlægger du forbedringer over tid, prioriteret ud fra et risikoperspektiv.

Hvis du ikke allerede gør nok i dag, så er den forudkonfigurerede ISMS.online platform, den medfølgende handlingsvenlige dokumentation og de valgfri Virtual Coach-tjenester vil hjælpe dig med at få resultater meget hurtigere og til lavere samlede omkostninger end nogen andre alternativer. Den virtuelle coach inkluderer også ARM-trinene til succes, som er opsummeret nedenfor.

Vi gør det nemt at opnå ISO 27001

Få et forspring på 77 %

Vores ISMS leveres præ-konfigureret med værktøjer, rammer og dokumentation, du kan adoptere, tilpasse eller tilføje til. Enkel.

Din vej til succes

Vores sikrede resultater metode er designet til at få dig certificeret på dit første forsøg. 100% succesrate.

Se og lær

Glem alt om tidskrævende og dyr træning. Vores Virtual Coach-videoserie er tilgængelig 24/7 for at guide dig igennem.

Sådan følger du ARM for hurtig og effektiv ISO 27001 succes

Trin 1: Beskriv det aktuelle organisatoriske informationssikkerhedsmiljø

A: Læg grundlaget for succes med informationssikkerhedsstyring

Det betyder, at du forstår din organisation og relevansen af informationssikkerhed til det. Det inkluderer overvejelser for parter, der vil være interesserede i din informationssikkerhedsstyring, de informationsaktiver, du skal beskytte, de risici, du står over for og dit topniveau Informationssikkerhedspolitik.

Dette omfatter praktisk talt adressering § 4, § 5, og paragraf 6 i ISO 27001-standarden sammen med bilag A 8, som fokuserer på informationsklassificering og opgørelse af informationsaktiver. Hvis du ikke allerede kan gøre dette, indeholder ISMS.online platformen en masse indhold og værktøjer, der vil hjælpe dig med hurtigt at beskrive disse områder. Det tilbyder også en bank af de mest almindelige informationssikkerhedsrisici, linker til de relevante bilag A kontrollerer og sikrer på afgørende vis, at du tager en tilgang til din implementering, der passer til din virksomhedskultur, risikovillighed og ønskede arbejdsformer.

B: Beskriv aktuelle informationssikkerhedspolitikker og kontroller

Du vil allerede have nogle politikker og kontroller på plads, selvom de er implicitte snarere end veldokumenterede. Disse er højst sandsynligt baseret på hensyntagen til risici eller opfattet "best practice" og viden fra professionelle medarbejdere, eller blot sund fornuft tilgange omkring beskyttelse af dine værdifulde oplysninger mod ondsindede parter. Det er muligvis ikke sket gennem en formel risikovurdering eller dokumenteret tilgang. Så til dette trin skal du blot beskrive, hvad du gør i dag, i sammenhæng med standardens politikker og kontroller i bilag A, og link det derefter tilbage til de informationsaktiver og det overordnede risikoarbejde, du vil udføre med at lægge fundamentet.

Hvis du ikke nemt kan beskrive, hvordan du arbejde i dag inden for de relevante informationssikkerhedsområder baseret på din risikoanalyse, vil du heller ikke være i stand til at demonstrere det i fase 2-revisionen, så en ekstern revisor har intet andet valg end at udstede afvigelser og potentielle fejlmeddelelser. Det er et af de almindelige problemer, organisationer står over for, der bare køber informationssikkerhedspolitikdokumentværktøjer, og derefter dumper dem i et fællesdrev og tror, ​​at det er godt nok til succes; det er ikke. Den handlingsrettede dokumentation, indhold og forudbyggede værktøjer i ISMS.online-platformen til Annex A-kontrollerne vil hjælpe dig med at tænke. De giver dig også chancen for at adoptere, tilpasse eller tilføje til det, hvilket sparer enorme mængder af tid og sikrer dig, at det er rigtigt for din virksomhed også at kunne demonstrere i praksis.

C: Overtag eller tilpas de resterende kernekrav i ISO 27001

Nu kan du gå tilbage og beskrive, hvordan du vil gribe standardens resterende kernekrav an, som er fokuseret mere på den operationelle administration og løbende forbedring af informationssikkerhedsstyringssystemet. Det inkluderer, hvordan du vil tage fat på nogle administrativt smertefulde, men vigtige aspekter af ISMS'et, samt præcisere ledelsen og rollerne, der understøtter informationssikkerhedsstyringssystemet. Den potentielt smertefulde administration omfatter dokumentation af erklæringen om anvendelighed for ISO 27001 paragraf 6.1.3 samt processerne for opfyldelse af informationssikkerhedsmålene i paragraf 6 af kernekravene. Denne del omhandler også, hvordan operationen styres, interne revisioner, ledelsesgennemgange, korrigerende handlinger, afvigelser og forbedringer udføres.

Ligesom de andre dele af ISO 27001, har ISMS.online allerede adresseret mange af kravene her, hvilket betyder en relativt smertefri tilgang med automatiseret rapportering og praktiske prækonfigurerede arbejdsområder for nemt at demonstrere den effektive drift. Det hjælper dig langt med at nå dette endelige sæt krav på så kort en tidsramme som muligt.

Trin 2: Gå live med ISMS

Jo hurtigere du kan flytte dit informationssikkerhedsstyringssystem til driftstilstand, jo hurtigere kan det blive 'business as usual' og vise, at du tager informationssikkerhed seriøst. Det er sandsynligt, at din ISMS vil begynde driften organisk med processer, kontroller og politikker, der indføres i hele implementeringsperioden, men det er en fordel at angive en dato, hvor ISMS'et betragtes som "Live & Operational".

Fordelene er:

• Et klart defineret "startpunkt", før hvilket revisorerne ikke bør overveje inden for omfanget af ISMS-revisionen og bør ikke dokumentere konstaterede manglende overholdelse før denne dato
• Det fokuserer på ansvarlige parter i organisationen, fra det forventes, at de begynder at levere beviser for kontroller inden for deres ansvarsområde
• Alt før denne dato kan henvises til under en revision af dig som "tidlig adoption"

Du behøver ikke at være "perfekt" på "go-live"-datoen, men det er værd at vælge en dato, hvor et flertal af processer, politikker og kontroller er klar til drift. Det er klart, at der stadig kan foretages forbedringer mellem denne dato og fase 1- eller fase 2-revisionen.

Ideelt set bør datoen være mindst 1 måned før trin 1-revisionen (som normalt er 1 måned før trin 2-revisionen). Dette er for at sikre, at pr tidspunktet for fase 2-revisionen, mindst 2 måneders bevis er blevet akkumuleret.

Aftal og dokumenter den formelle "lanceringsdato" for ISMS. Hvis du bruger ISMS.online, foreslår vi, at du fanger og registrerer det i dit ISMS Board-område og også annoncerer det til dit personale inden for omfanget, f.eks. via din ISMS.online Group-kommunikation og refererer det til revisoren for at se, om det bliver bedt om det.

Trin 3: Planlæg forbedringer af informationssikkerheden

Under arbejdet med at beskrive din nuværende implementering af informationssikkerhed er det meget sandsynligt, at du vil have identificeret forbedringer, som du har brug for eller ønsker at foretage. Disse kan være at reducere dine risici yderligere til et acceptabelt niveau, for at forbedre den operationelle effektivitet eller endda drage fordel af nye muligheder. I stedet for at sætte tempoet ned for at forbedre på det tidspunkt, ville du have lavet noter om disse forbedringsområder, og det er nu tid til at planlægge disse forbedringer af informationssikkerheden. Dette vil vise, at du har kontrol over ISMS'et og demonstrere over for din øverste ledelse samt en ekstern revisor, at du løbende forbedrer.

I ISMS.online opfordrer det til, at disse forbedringer registreres i "Corrective Actions & Improvements Track" (eller hvis det er meget enkelt, så tilføjes dem som opgaver inden for den relevante risikobehandlingsplan). For at demonstrere, at effektiv kontrol og planlægning bør du nu gennemgå alle emnerne og tildel ejere, prioriter dem til handling, sæt måldatoer for færdiggørelse.

Under prioriteringsøvelsen skal følgende overvejes:

• Hvor let vil implementeringen af ​​forbedringen være
• Hvor meget risikoreduktion eller andre fordele opnås
• Hvis forbedringsimplementeringen kan gennemføres efter certificering (hvor risikoejeren gerne accepterer risikoniveauet over målet, indtil implementeringen er afsluttet)
• Hvis implementeringen skal afsluttes før ISO 27001 trin 1-revisionen (forbedringer af beskrivelsen af ​​kontroller)
• Hvis implementeringen skal afsluttes før ISO 27001 trin 2-revisionen (forbedringer af implementering og drift af kontroller)

Hvor identificerede forbedringer er nødvendige forud for trin 1- eller trin 2-revisionen, bør du være sikker på, at dette kan opnås, før du booker den relevante revision. (Tape 1 og fase 2 Audits er normalt med ca. 1 måneds mellemrum).

Når du har gennemført trin 3, vil du være et rigtig godt sted for at få succes med trin 1-audit.

Trin 4: ISO 27001 trin 1 og trin 2 revisioner

Hvad er trin 1-revisionen for ISO 27001?

Når du har gennemført trin 1-3, vil du være et fantastisk sted til trin 1-revisionen. Certificeringsorganets revisor vil gerne se dokumentationen til informationssikkerhedsstyringssystemet og forstå, at du har opfyldt kravene, i det mindste i teorien! Denne fase er mere en desktop-gennemgang af ISMS med revisor, der dækker de obligatoriske områder og sikrer, at ånden i standarden bliver anvendt. Fremsynede certificeringsorganer er begyndt at gøre disse eksternt med platforme, såsom ISMS.online, hvilket reducerer omkostningerne og også kan fremskynde processen. Resultatet af denne øvelse er en anbefaling om trin 2-revisionsberedskab (måske med observationer, der skal revurderes under trin 2-revisionen) eller et behov for at løse eventuelle afvigelser, der er identificeret, før yderligere fremskridt kan ske.

Hvad er trin 2-revisionen for ISO 27001?

Efter at have gennemført trin 1-revisionen har revisoren en grundlæggende forståelse af din organisation, dens informationssikkerhedsposition og dens tilgang til informationssikkerhedsstyring. De vil nu gerne se, at du rent faktisk GØR, hvad du siger, du gør. Desuden vil de forvente at se, at du vurderer, hvor effektiv dit ISMS er, og hvordan du styrer løbende forbedringer. Målet med Stage 2 Audit er at bevise, at dit ISMS fungerer som beskrevet, i overensstemmelse med kravene i standarden og leverer det informationssikkerhedsniveau, der vurderes at være tilstrækkeligt og proportionalt med de risici, din organisation står over for. Trin 1 er ret ligetil, men trin 2 handler om at give revisoren den tillid, at du demonstrerer, at ISMS i en levende vejrtrækningsform på tværs af dit angivne omfang.

Som et sidste krydstjek forud for trin 2-audit, stil dig selv disse enkle spørgsmål:

1. Har vi lukket nogle kritiske resultater fra fase 1-revisionen?
2. Kan vi bevise driften af ​​alle nødvendige ISMS-processer?
3. Bliver målene målt og opfyldt?
4. Vedligeholdes risikoregistret?
5. Is sikkerhedsbevidsthed og træning indsat til dem i omfang?
6. Er kompetencegab bliver lukket?
7. Udføres der intern revision?
8. Er formelle ISMS Management anmeldelser bliver gennemført?
9. Bliver korrigerende handlinger og forbedringer logget og sporet?
10. Kan vi bevise driften af ​​alle relevante informationssikkerhedskontroller og processer?
11. Kan vi vise, at hvor hændelser er identificeret, bliver disse logget, sporet, administreret og implementeret over tid?
12. Kan vi vise, at vi er tilfredse med vores nuværende risikoprofil? Det er:
    • En risiko er acceptabel uden yderligere handling på nuværende tidspunkt
    • Er en risiko i øjeblikket acceptabel, når man overvejer identificerede forbedringer, der er blevet logget og implementeres over en defineret tidsramme?

Hvis du kan svare "ja" til disse spørgsmål, så er du sandsynligvis klar til Stage 2 Audit.

Revisoren vil undersøge nærmere, derefter prøve at teste din tilgang og næsten helt sikkert udvælge personale for at vise, at de er uddannet, bevidste og overholder reglerne. Det er meget vigtigt, at dit personale og andre personer i scopet (f.eks. leverandører) er i stand til at demonstrere, at de forstår, hvor de kan finde og følger dine erklærede politikker og procedurer, hvis revisoren spørger dem. ISMS.online tilbud Politikpakker til demonstration af overholdelse og ISMS-kommunikationsgrupper for at engagere personale og nøgleleverandører om emnet informationssikkerhed. Prøveudtagningen af ​​bevismateriale kan omfatte:

• Fysiske inspektioner (f.eks. lokalitet/kontorvandring)
• Interviews med personale med ansvar for ISMS eller informationssikkerhed
• Interviews med generelt personale (f.eks. for at kontrollere bevidstheden)
• Inspektion af logfiler og optegnelser (af alle typer)
• Gennemgang af implementering af tekniske kontroller (f.eks. konfigurationsfiler)

Hvis dit omfang omfatter flere lokationer, vil certificeringsorganet ønske at auditere en række af disse, især steder med en hvilken som helst nøglefunktionalitet. De vil give nøjagtige detaljer, når du anmoder om dit tilbud fra dem.

Der er to resultater fra fase 2-revisionen:

1. Anbefales ikke til certificering – Dette er meget usædvanligt, da alle større problemer burde være blevet identificeret under trin 1-revisionen. Det sker hvis handlinger for at afhjælpe afvigelser fra trin 1-revisionen ikke er blevet taget. Meget lejlighedsvis vil en tidligere uopdaget større afvigelse blive fundet. Hvis dette sker, vil certificeringsorganet næsten helt sikkert stoppe revisionen med det samme og detaljere de nødvendige trin for at lukke problemet. I værste fald kan en genkøring af trin 2-revisionen være nødvendig.
2. Anbefales til certificering – Det betyder, at med forbehold af peer-review af revisionen i certificeringsorganet og potentiel gennemgang af akkrediteringsorganet (f.eks. UKAS), vil du modtage din certificering.

Du kan også modtage forbedringsområder eller mindre afvigelser, som bør behandles i overensstemmelse med revisors anbefalinger.

Hvad sker der efter ISO 27001 trin 2-revisionen?

Hvis du er blevet anbefalet til certificering... TILLYKKE! Nyd øjeblikket, da det er virkelig hårdt arbejde at opbygge en uafhængigt certificeret informationssikkerhedsstyring, som folk kan stole på. Hvis det var enkelt, ville alle gøre det, men det gør de ikke. Selvom ISMS.online gør hele rejsen meget nemmere og hurtigere, er det stadig en vidunderlig præstation, der er værd at fejre.

Certificeringsorganet vil derefter peer-reviewe revisionsrapporten internt og videregive rapporten til akkrediteringsorganet (f.eks. UKAS), som ser på en prøve fra hvert certificeringsorgan for at sikre, at standarderne opretholdes. Når akkrediteringsorganet har givet deres godkendelsesstempel, vil der blive udstedt et certifikat. Processen med gennemgang og udstedelse af certificering tager normalt 3-4 uger. Certifikatet varer i 3 år, og du vil have overvågningsrevision med jævne mellemrum på vejen, normalt årligt.

Indtil videre kan du komme videre ved at "fejre og bygge videre på succes", da et ISMS er for livet, ikke kun den første certificering. Det, der kan gives, kan nemt tages væk, hvis du ikke fastholder og forbedrer din tilgang over tid, så husk at blive ved med at gøre lidt, ofte, og du vil opdage, at det hurtigt integreres i en meget overskuelig, positiv oplevelse for dig og organisationen .