Hvem skal være involveret i implementeringen af ​​ISO 27001?

Hvad er ISO 27001?

ISO/IEC 27001:2013 – for at give den aktuelle internationale version sin fulde reference – almindeligvis omtalt som ISO 27001, er den internationalt anerkendte standardspecifikation for et Information Security Management System (ISMS).

ISO 27001 er en del af en familie af standarder i ISO 27k-området, der dækker en bred vifte af informations- og cybersikkerhedsemner og overholdelsesvejledning.

ISO 27k-familien er selv en del af en bredere familie af ledelsessystemstandarder baseret på ISO/IEC-direktiverne, del 1 (11. udgave 2020) Bilag SL, som definerer en fælles ledelsessystemramme.

Det er designet til at muliggøre et risikofokuseret virksomhedsledelsessystem, der understøtter beskyttelsen af informationsaktiver i enhver form – fx inden for it-systemer, på papir- eller digitale medier og endda i folks hoveder. Det er ikke beregnet til at blive brugt som en teknisk sikkerhedsstandard.
Standarden indeholder:

• De obligatoriske "krav" (ofte kendt som "ledelsessystemklausulerne"), der følger ISO-direktiverne, del 1, bilag SL-ramme; og
• Bilag A – et eksempel på risikovalgbare kontroller, der typisk bruges til at hjælpe med at reducere risici til et acceptabelt niveau.

Få mere at vide om kernekravene i ISO 27001 og de kontroller i bilag A, du kan vælge at implementere link..

Hvorfor er ISO 27001 vigtigt?

Alle organisationer skaber, administrerer og distribuerer information, og al information har en værdi. Implementering af et internationalt anerkendt informationssikkerhedsstyringssystem vil hjælpe med at beskytte værdien og give betydelige forretningsmæssige fordele og investeringsafkast.

Sådanne fordele kan omfatte:

• Evnen til at operere på regulerede markeder, der efterspørger påviselig informationssikkerhed.
• Muligheden for at bruge akkrediteret certificering som en kritisk differentiator til at vinde nye forretninger.
• Reduktion af driftsomkostninger ved at fokusere på sikkerhedskontrol, hvor der virkelig er brug for dem reducere kritiske risici og strømline processer til styring af informationssikkerhed.
• Reduktionen i omkostninger forbundet med at reagere på informations- og cybersikkerhedshændelser.
• Lettere påviselig overholdelse af lovgivning og regulering og reduktion af potentielle sanktioner for overtrædelser af sådanne.

Hvilke roller er nødvendige for at implementere ISO 27001 Information Security Management System?

Mens ISO 27001 ikke specificerer påkrævede roller; flere grundlæggende ansvarsområder skal tildeles at sikre, at ISMS stemmer overens med din organisations kultur og natur og dens forretningsdrift og med succes håndterer informationsrisici til et acceptabelt niveau.

Udtrykket "interessenter" betyder forskellige ting for forskellige mennesker, og ofte vil du høre om primære, sekundære og endda tertiære interessenter, direkte og indirekte interessenter. ISO-ledelsessystemernes standarder taler ikke om interessenter, men snarere "interesserede parter", men det betyder ikke, at du ikke vil have interne interessenter til ISMS.

Primære interessenter

Da ISO 27001 først og fremmest er en standard for virksomhedsledelsessystem, skal dine primære interessenter sidde på det øverste ledelsesniveau – det handler trods alt om at beskytte din virksomhed!

I, primære interessenter, vil sandsynligvis inkludere:

• "C" eller repræsentation og sponsor på direktionsniveau.
• Senior risk stakeholder – eventuelt en Senior Information Risk Officer (SIRO) eller lignende rolle, der er ansvarlig for at overvåge alle forretningsrisici, som informationsrisiko er en del af.
• En person eller et team med ansvar for ISMS - muligvis en chef Information Security Officer (CISO), Information Security Manager (ISM) eller lignende, der passer ind i din organisations kultur og terminologi og dens eksisterende struktur.
• En "lead implementer" eller lignende nomineret ressource ansvarlig for at styre implementeringen af ​​ISMS.

Sekundære interessenter

Sekundære interessenter vil være dem, der vil være ansvarlige for en del af ISMS. Dette vil omfatte emnerepræsentanter fra hele organisationen og muligvis dens partnere og endda leverandører.

Listen over sekundære interessenter vil blive bestemt af størrelsen og arten af ​​din organisation, men kan omfatte:

• Informations- og cybersikkerhedsspecialister, der er relevante for din organisations drift.
• IT-sikkerhed og teknisk ressource.
• HR-repræsentation.
• Fysisk sikkerhed repræsentation – eventuelt ”Faciliteter” eller lignende
• Repræsentation af juridisk og compliance
• Intern revision
• Repræsentanter fra forretningsafdelinger med ansvar for dine kritiske forretningsprocesser – ISMS skal arbejde med disse, ikke blive en blokering. Så at engagere virksomhedsledere på tværs af organisationen vil være grundlæggende for at opnå dette.
• Repræsentanter fra leverandører eller samarbejdspartnere, der har adgang til organisationens oplysninger.

Lead implementer rolle defineret

Rollen "Lead Implementer" er den person, der er ansvarlig for at føre tilsyn med ISMS-implementeringen og skal som sådan være en person med den viden og kompetence, der kræves til opgaven.

De skal forstå ISO 27001-standarden og tilhørende vejledningsstandarder fra samme familie. De skal også kende nøgleprocesserne til implementering, drift, overvågning og forbedring af ISMS for at sikre, at ISMS er effektivt.

Traditionelt er dette enten "købt ind" i form af en specialistkonsulent eller "opdrættet" ved at sende en eller flere eksisterende medarbejdere på et ISO 27001 lead implementer-uddannelseskursus. Begge disse er normalt dyre muligheder.

ISMS.online platformen giver flere værktøjer, der hjælper med at udfylde viden- og kompetencegabet, der hjælper med at reducere eller eliminere behovet for sådanne udgifter. Disse omfatter:

• Vores handlingsindhold – dokumenterede politikker og kontroller, som du nemt kan vedtage, tilpasse eller tilføje til, og det betyder, at du kan have op til 77 % af den dokumentation, du har brug for fra dag 1.
• Vores "Assured Results Method" (ARM) – som er en emneekspert udarbejdet køreplan, der leder dig gennem implementeringen af ​​dit ISMS logisk og effektivt.
• Færdigbyggede værktøjer – som vores risikoregister Som indeholder:
  • En prøvebank på over 100 almindelige informationssikkerhedsrisici,
  • Vores interesserede kort,
  • Vores spor til håndtering af hændelser, korrigerende handlinger og forbedringer,
  • Og vores lov- og myndighedsregister, som indeholder typisk relevant lovgivning og regulering.
• Vores "Virtuel Coach" – et valgfrit ekstraudstyr, der giver ekspertrådgivning og vejledning gennem indholdslinkede kontekstuelle video-, lyd- og tekstforklaringer.

Find ud af, hvordan vores mere om, hvordan ISMS.onlines forenklede, sikre og bæredygtige platform kan passe til dine behov link..

Topledelsen

"Alt starter i toppen" – ISO 27001 er først og fremmest et virksomhedsledelsessystem designet til at styre beskyttelsen af ​​en organisations informationsaktiver og reducere informationsrisici til et acceptabelt niveau.

Uden støtte fra topledelsen er det usandsynligt, at implementeringen og driften af ​​ISMS vil være vellykket, effektiv eller effektiv.

ISO 27001 definerer nogle grundlæggende klausuler, som er den øverste ledelses ansvar, Herunder:

• 5.1 Ledelse og engagement – Topledelsens engagement i integrationen af ​​informationssikkerhed i organisationen og dens processer
• 7 Support – tilvejebringelse af tilstrækkelige og kompetente ressourcer til ISMS
• 9.3 Ledelsesberetning – en forpligtelse for den øverste ledelse til mindst en gang årligt at vurdere effektiviteten af ​​ISMS

Informationssikkerhed/styringspersonale

Grundlæggende for en vellykket implementering og drift af ISMS vil være informationssikkerheds- og styringspersonalet, der har til opgave at varetage ISMS's overordnede ledelse og dets komponenter.

Disse er normalt personale, hvis primære rolle er fokuseret på informationssikkerhed og styring. Men hvis din organisation er lille, er det sandsynligvis også en person, der har et andet dagjob.

ISMS.online platformen kan hjælpe med at give viden, kompetence og tillid, hvor ressourcer på ekspertniveau ikke er tilgængelige, og sikre, at ISMS ikke bliver en byrdefuld overhead.

IT-afdeling eller leverandør(er)

Da meget information lagres, behandles og transmitteres på eller gennem IT-systemer, netværk og applikationer, vil der være behov for at sikre, at passende interaktion med IT-afdelinger og/eller leverandører er indbygget i ISMS'et på et tidligt tidspunkt.

Mange af de kontroller, der vil blive implementeret for at beskytte dine informationsaktiver, vil være tekniske kontroller designet, udviklet, implementeret og drevet af din it-afdeling eller dine leverandører.

Styring af forventningerne og ansvarsfordelingen for de tekniske aspekter af information og cybersikkerhed vil være afgørende for ISMS'ens succes.

Intern(e) revisor(er)

ISO 27001, som med alle ISO-ledelsessystemstandarder, kræver, at en organisation har et program med interne revisioner for at verificere den effektive drift af ISMS og dets evne til at reducere informationsrisici til et acceptabelt niveau.

Som minimum skal ISMS-styringsklausulerne (4-10) revideres årligt, og bilag A kontroller skal revideres inden for certificeringsperioden (3 år for UKAS-akkrediterede certificeringer).

Udvælgelsen af ​​interne revisorer skal sikre objektivitet – det vil sige man kan ikke revidere sit eget arbejde – og kompetence – revisor skal have viden og kompetence til at udføre revisionen.

Vores Virtual Coach-service leveres færdigbygget med alt, hvad du behøver at vide om interne revisioner eller læs vores forenklet vejledning til ISO 27001:2013 Internal Audits med vejledning og ideer til, hvordan du kan nå dit mål.

Databeskyttelsesansvarlige

Databeskyttelsesansvarlige er typisk ansvarlig for at sikre passende styring, brug og beskyttelse af personligt identificerbare oplysninger (PII) i organisationen. Sådanne oplysninger vil relatere til en organisations personale og ofte til dets kunder.

Dette ansvar omfatter klart at sikre, at tilstrækkelig information og cybersikkerhedskontroller og -processer er på plads for at beskytte denne type information.

Rollen som databeskyttelsesrådgiver er ikke specificeret eller påbudt i ISO 27001, men anden relevant lovgivning og regulering, såsom den britiske databeskyttelseslov (2018) og Generel databeskyttelsesforordning (GDPR) kræver en rolle af denne art. Derudover indebærer overholdelse og andre kontroller inden for ISO 27001 i høj grad behovet for en sådan rolle.

Hvem vil revidere vores ISMS for ISO 27001-certificering?

Hvis du søger at opnå anerkendt og respekteret certificering til dit ISMS – nødvendigt for at få det maksimale udbytte af det – du bliver nødt til at engagere et ISO 27001 akkrediteret certificeringsorgan til at udføre de nødvendige audits til certificering.

Hvad er ISO 27001-certificeringsorganer?

Certificeringsorganerne giver revisorer færdigheder, viden og kompetence til at udføre certificeringsrevisionerne og sikre, at certificeringer er akkrediteret til et ensartet niveau.

Sådanne organisationer er normalt opført på webstedet for det territoriale akkrediteringsorgan. I Storbritannien er akkrediteringsorganet United Kingdom Accreditation Service (UKAS), og de fører tilsyn med de akkrediterede certificeringsorganer i Storbritannien.

Hvor lang tid vil det tage at bygge ISMS?

Som med ethvert væsentligt projekt vil den tid, det tager, afhænge af, hvad der skal gøres, og kapaciteten og kompetencen af ​​de ressourcer, der stilles til rådighed for at udføre det.

For ISO 27001 er "hvad der skal gøres" veldefineret i standarden, og de ressourcer, der stilles til rådighed, vil blive bestemt af din organisation.

For en lille til mellemstor organisation med nogle allerede eksisterende politikker og kontroller kan opbygningen af ​​et ISMS typisk tage alt fra 6 måneder til et år (afhængigt af ressourceniveauer). Nogle gange er det endnu længere, hvis tilgængelige ressourcer skal dele deres tid på andre job. Et 150-dages (fuldtidsækvivalent) projekt er ret almindeligt.

ISMS.online platform kan hjælpe med at reducere dine ressourceniveauer markant. Afhængigt af hvor meget af det handlingsrettede indhold du kan adoptere eller nemt tilpasse, kan opbygningen af ​​dit ISMS reduceres med så meget som 75 % eller 80 %. Nogle kunder kan gå fra en stående start til at være klar til at påbegynde certificeringsrevisionsprocessen inden for 6 uger.

Hvor lang tid vil det tage at få ISO 27001-certificering?

Når dit ISMS er bygget, foregår certificeringsrevisionsprocessen i to trin, hvor en forløbet tidsramme på 2 måneder er almindelig. Typisk er processen i to trin:

• Fase 1 Audit – ISMS Dokumentationsgennemgang
• Korrigerende handlingsperiode – sædvanligvis 4-6 uger mellem de to faser for at give en organisation mulighed for at træffe eventuelle korrigerende handlinger, der opstår fra fase 1-revisionen
• Fase 2 revision – Evidensmæssig "certificering" revision
• Gennemgang af certificerings- og akkrediteringsorgan - typisk 2-4 uger. Certificeringsorganet vil peerevaluere revisionen internt og indsende revisionen til UKAS, som eventuelt kan prøve revisionen til gennemgang.

Hvordan vælger jeg et certificeringsorgan?

Mange faktorer vil påvirke dit valg af certificeringsorgan.

Den vigtigste af disse vil være at sikre, at certificeringsorganet er akkrediteret. Det er muligt at opnå ikke-akkrediteret certificering. Dette vil dog have begrænset integritet og værdi. Vi anbefaler stærkt, at du ikke går denne rute.

Hvis du allerede har andre certificeringer, såsom:

• ISO 9001 (kvalitetsstyring)
• ISO 14001 (miljøledelse)
• ISO 45001 (arbejdsmiljøledelse)*

Du vil sandsynligvis først henvende dig til dit eksisterende certificeringsorgan for at se, om de også er akkrediteret til ISO 27001.

*bemærk – hvis du allerede har certificeringer til andre ledelsessystemstandarder, kan du drage fordel af at integrere disse i en enkelt "Integreret ledelsessystem" – og ISMS.online platformen kan hjælpe med at opnå dette.

Hvilke ressourcer skal jeg bruge til ISO 27001-implementering?

Vi har ovenfor identificeret adskillige roller, der vil være involveret i implementeringen af ​​dit ISMS, men i bund og grund har du brug for:

• Kompetent ressource (såsom en ledende implementer) – med kendskab til standarden – kan ISMS.online platformen levere meget af den nødvendige kompetence gennem sit præbyggede indhold og værktøjer.
• Kapacitet af andre ressourcer – såsom emnerepræsentanter fra IT, Juridisk, Faciliteter, Senior Management og forretningsafdelinger.

Det er en væsentlig del af din ISMS implementeringsplanlægning, at du overvejer dine ressourcers kompetence, kapacitet, tillid og disciplinkrav, hvis du ønsker at opnå en vellykket, effektiv og effektiv implementering inden for en rimelig tidsramme.

Hvis vi antager, at vi får certificering, hvilke ressourcer skal vi så bruge til vedligeholdelse?

Et certificeret ISMS er en fortsat rejse, ikke en destination. Som sådan vil det kræve et vist ressourceniveau at opretholde det. Jo mere et ISMS er integreret i organisationens daglige processer, og jo mere sammenbundet ansvaret er, jo mindre overhead vil det være.

Ud over de integrerede kontrolaspekter af ISMS, skal du sikre, at de kritiske processer i ISMS drives:

• Risikostyring – regelmæssig gennemgang af risici for at sikre, at behandlingerne forbliver tilstrækkelige og forholdsmæssige.
• Intern revision – den løbende drift af et internt revisionsprogram, der som minimum dækker hele standarden inden for certificeringsperioden (3 år for en UKAS-akkrediteret certificering), og oftere auditerer de områder med væsentlig drift eller risiko.

• Ledelsesgennemgang – en ledelsesgennemgang på øverste niveau af ISMS på mindst en årlig basis for at sikre effektiviteten og effektiviteten af ​​ISMS'et med hensyn til at nå de forretningsledede mål for informationssikkerhed.
• Korrigerende handling , løbende forbedring – processer for at sikre, at ISMS løbende forbedres over tid, og at afvigelser korrigeres inden for en rimelig tidsramme.

Hvad skal vi gøre, når standarden er opdateret?

Dette afhænger af opdateringens art. Alle ISO-styringssystemstandarder ses og opdateres med jævne mellemrum.

Hvis standarden i det store og hele vurderes at være passende, kan det være, at der kun foretages mindre opdateringer af ordlyden.

Nogle gange bliver standarden dog omarbejdet af en eller anden grund. Dette resulterer i en større opdatering, der kan kræve en "overgang" revision fra en version af standarden til den nye.

Sidste gang en større omstrukturering af ISO 27001 fandt sted var i 2013 (ændringen fra 2005-versionen til 2013-versionen). Da dette var et stort eftersyn, var der en 2-årig overgangsperiode til organisationer.

Fordi en sådan ændring kan skabe store mængder arbejde og omkostninger for mange organisationer, forsøger ISO at undgå sådanne væsentlige ændringer, hvor det er muligt.

Uanset hvad opdateringerne er, bør dit certificeringsorgan fortælle dig, hvad du skal gøre.

Du kan være sikker på, at vi opdaterer ISMS.online-platformen, så den afspejler standardens aktuelle version, når dette sker.

Hvad hvis min virksomhed ændrer de produkter/tjenester, vi tilbyder?

Afhængigt af hvor væsentlige ændringerne er, kan du kræve en ekstraordinær revision af certificeringsorganet for at sikre, at din certificering dækker de nye produkter og tjenester inden for ISMS-omfanget.

Det er dog almindeligt, at certificeringsorganet vil kombinere denne audit med en periodisk overvågningsaudit eller ved din næste gencertificeringsaudit.

Det er vigtigt at bemærke, at dine nye produkter eller tjenester muligvis ikke er omfattet af din eksisterende certificering, før bekræftelse fra certificeringsorganet er givet.

Hvad hvis vi åbner et nyt kontor i et fremmed land?

Som med ændringer af produkter/tjenester ovenfor, vil du sandsynligvis kræve en vis grad af yderligere revision fra dit certificeringsorgan for at verificere, at dine aktiviteter i det nye land er omfattet af certificeringens omfang.

En afgørende faktor at overveje for at udvide din ISO 27001 til at omfatte operationer i nye lande er, at der næsten helt sikkert vil være forskellig informationssikkerhedslovgivning og -regulering at overveje.

Hvilken afdeling skal 'eje' ISMS?

Der er ikke noget rigtigt eller forkert svar på dette spørgsmål, og det vil være helt afhængig af strukturen i din organisation og dens kultur. Der er dog nogle vigtige punkter at overveje:

• ISO 27001 er en standard for virksomhedsledelsessystem – så det kan være bedst at placere ejerskab i en tværgående afdeling som f.eks. Risk eller Compliance.
• Ejerskab kan placeres inden for IT. Dette kan dog ofte føre til, at informationssikkerhed bliver et IT-kun-problem og kan gå glip af standardens forretningsledede aspekter.
• ISMS'et kan placeres i en "informationssikkerheds"-specifik afdeling, men dette kan have en tendens til at føre til, at aktiviteten bliver "siloed", interagerer dårligt med den bredere forretning eller ses som en "politistruktur", der hurtigt bliver opfattet som en blokerer i stedet for en aktiverer.

En god måde, der kan fungere for mange organisationer, er at ejerskabet er på organisationens øverste niveau. ISMS-operationen kan sammenføjes på tværs af organisationen, men koordineres af en ledende ressource, såsom en CISO eller informationssikkerhedschef.

Hvordan kan ISMS.online hjælpe mig med at implementere ISO 27001 hurtigere?

Ved at afmystificere ISO 27001 og tilgangen til implementering af et ISMS, kan ISMS.online platformen accelerere din implementering ved at fokusere din indsats på det rigtige sted på det rigtige tidspunkt.

Ved at levere en alt-i-et-sted ISMS-løsning kan der desuden spares betydelig tid ved ikke at skulle søge rundt efter flere værktøjer, opsætte komplekse dokumentationsarkiver og implementere nye processer – disse er lige i kassen fra dag 1.

ISMS.online platformen kan hjælpe med at reducere den tid, der kræves for at implementere et ISMS markant, ved at give dig alt, hvad du behøver for at opnå ISO 27001 certificering første gang.

Hvordan gør ISMS.online implementeringen af ​​ISO 27001 nemmere?

ISMS.online-platformen afmystificerer ISO 27001 og implementerer og driver et ISO 27001-kompatibelt og certificeret ISMS. Med disse og kontekstualiserede oplysninger på det rigtige sted, vil ISMS.online-platformen hjælpe dig med nemt at adoptere, tilpasse eller tilføje til vores eksempelindhold og gøre din rejse til certificering meget lettere.