5 topwenke vir die bereiking van ISO 27001-sertifisering

Begin altyd met 'n plan

Die ISO 27001-sertifiseringsproses kan redelik kompleks en uitdagend wees. Jy moet baie borde laat draai. Dus, voordat jy begin, het jy 'n implementeringsplan nodig om jou deur dit alles te neem. Vra jouself vrae soos: Hoe implementeer ons ISO 27001? Waaroor moet ons in elke stadium van die ouditproses? Hoe sal ons werklading wees en wanneer wil ons dit bereik? Jy moet 'n goeie idee hê van wat jy wil hê en moet hê bereik voor, tydens en selfs na sertifisering.

Behandel dit as 'n besigheidsverbeteringsoefening

Daar is baie om mee in te neem ISO 27001. Om dit as 'n besigheidsverbeteringsoefening te sien, eerder as om net baie blokkies af te merk, sal jou help om alles in te neem en daarmee betrokke te raak. Dit kan jou help om te skep besigheidsprosesse en benaderings op meer gestruktureerde, deurdagte maniere. Ons het groot verbeterings in ons eie besigheid gesien deur dit te doen. Jy sal nie soveel daaruit kry as jou benadering is: 'Ek doen dit net om hierdie te ontmoet vereistes van die standaarde'.

Bring jou organisasie saam met jou

Almal moet jou verstaan ​​en volg infosec-beleide en kontroles. Jou organisasie se mense sal sy grootste sekuriteitskrag wees. Maar net as jy hulle toerus met alles wat hulle moet wees bevoegde en bekwaam. En jy het leierskap-inkoop nodig, dit is 'n belangrike deel van die standaard. Trouens, dit is 'n geouditeerde deel van die standaard.

Jou beleide en kontroles kan dus nie te tegnies wees nie. Hulle moet mense met geen idee van die tegniese goed vertel wat hulle moet doen en hoekom dit so belangrik is nie. En jou senior bestuurders moet met dit alles betrokke raak en dit alles afteken. Hoe makliker jy dit maak om te volg, hoe meer waarskynlik is jy om te voldoen, beide intern en aan die sertifiseringsproses.

Deel die regte inligting met die regte mense

Aanvanklik het ons alle personeel gevra om deur elke enkele beleid en kontrole te lees. Dit is baie lees! En dan vra jy hulle om uit te werk wat vir hulle saak maak. So met verloop van tyd het ons dit verfyn. Ons vra net mense om die beleide en kontroles te lees wat relevant is vir hul rolle. Jy vra dus net mense om in te neem wat vir hulle relevant is, wat hulle eintlik nodig het om te weet en op te tree. Ek dink dit is nogal die sleutel. O, en natuurlik kan hulle nog die res daarvan lees as hulle wil.

Onthou dat dit alles oor risiko gaan

ISO 27001 is 'n risiko-gebaseerde standaard. Dit is maklik om uit die oog te verloor wanneer jy diep in sertifisering is. Dus moet alles wat u doen 'n risiko wat u organisasie in die gesig staar, verminder. Soms kan jy dit andersom kry, jy dink uiteindelik: “Ek moet hierdie beheer implementeer, want dit is wat die standaard sê”. Maar die standaard sê dit net as gevolg van 'n werklike risiko. Jy merk nie denkbeeldige boksies nie, jy beskerm eintlik jou organisasie. Om soms met die risiko's te begin en daaruit terug te werk, sal jou dus help om op 'n meer konstruktiewe manier daaroor na te dink.

Sam Peters – Hoof van produkte en dienste

Een van die langsdienende lede van die ISMS.aanlyn span, Sam het byna twintig jaar ondervinding om SaaS-oplossings op die mark te bring. Voordat jy spesialiseer in inligting-sekuriteit, Sam het digitale rolle in beide die openbare en private sektore beklee, en gewerk in finansies, onderwys en wetstoepassing. In die bietjie vrye tyd wat hy het, geniet Sam dit om fiets te ry en tyd saam met sy jong gesin deur te bring.