'n Geïntegreerde benadering: hoe ISMS.online ISO 27001- en ISO 27701-hersertifisering behaal het

In Oktober 2024 het ons hersertifisering na ISO 27001, die inligtingsekuriteitstandaard, en ISO 27701, die data privaatheidstandaard. Met ons suksesvolle hersertifisering betree ISMS.online sy vyfde drie-jaar sertifiseringsiklus—ons hou al meer as 'n dekade ISO 27001! Dit is vir ons aangenaam om te deel dat ons albei sertifiserings behaal het met geen nie-konformiteite en baie leer.

Hoe het ons verseker dat ons ons dataprivaatheid en inligtingsekuriteit doeltreffend bestuur en voortgegaan het om dit te verbeter? Ons het ons geïntegreerde voldoeningsoplossing gebruik – Enkelpunt van Waarheid, of SPoT, om ons geïntegreerde bestuurstelsel (IMS) te bou. Ons IMS kombineer ons inligtingsekuriteitbestuurstelsel (ISMS) en privaatheidsinligtingbestuurstelsel (PIMS) in een naatlose oplossing.

In hierdie blog deel ons span hul gedagtes oor die proses en ervaring en verduidelik hoe ons ons ISO 27001- en ISO 27701-hersertifiseringsoudits benader het.

Wat is ISO 27701?

ISO 27701 is 'n privaatheidsuitbreiding tot ISO 27001. Die standaard verskaf riglyne en vereistes vir die implementering en instandhouding van 'n PIMS binne 'n bestaande ISMS-raamwerk.

Waarom moet organisasies kyk om ISO 27701 te implementeer?

Organisasies is verantwoordelik vir die berging en hantering van meer sensitiewe inligting as ooit tevore. So 'n hoë – en toenemende – volume data bied 'n winsgewende teiken vir bedreigingsakteurs en bied 'n kernbekommernis vir verbruikers en besighede om te verseker dat dit veilig gehou word.

Met die groei van globale regulasies, soos GDPR, CCPA, en HIPAA, organisasies het 'n toenemende wetlike verantwoordelikheid om hul kliënte se data te beskerm. Wêreldwyd beweeg ons geleidelik na 'n voldoeningslandskap waar inligtingsekuriteit nie meer kan bestaan ​​sonder dataprivaatheid nie.

Die voordele van die aanvaarding van ISO 27701 strek verder as om organisasies te help om aan regulatoriese en voldoeningsvereistes te voldoen. Dit sluit in die demonstrasie van aanspreeklikheid en deursigtigheid aan belanghebbendes, die verbetering van kliëntevertroue en -lojaliteit, die vermindering van die risiko van privaatheidskendings en gepaardgaande koste, en die ontsluiting van 'n mededingende voordeel.

Ons ISO 27001 en ISO 27701 Hersertifisering Oudit Voorbereiding

Aangesien hierdie ISO 27701-oudit 'n hersertifisering was, het ons geweet dat dit waarskynlik meer in diepte sou wees en 'n groter omvang sou hê as 'n jaarlikse toesigoudit. Dit was geskeduleer om altesaam 9 dae te duur. Sedert ons vorige oudit het ISMS.online ook hoofkantoor verskuif, 'n ander kantoor gekry en verskeie personeelveranderings gehad. Ons was bereid om enige nie-nakoming wat deur hierdie veranderinge veroorsaak is, aan te spreek, sou die ouditeur enige vind.

IMS Review

Voor ons oudit het ons ons beleide en kontroles hersien om te verseker dat dit steeds ons inligtingsekuriteit en privaatheidsbenadering weerspieël. Met inagneming van die groot veranderinge aan ons besigheid die afgelope 12 maande, was dit nodig om te verseker dat ons voortdurende monitering en verbetering van ons benadering kon demonstreer.

Dit het ingesluit om te verseker dat ons interne ouditprogram op datum en volledig is, ons kon bewyse van die uitkomste van ons ISMS-bestuursvergaderings aanteken, en dat ons KPI's op datum was om te wys dat ons ons infosec- en privaatheidsprestasie meet.

Risikobestuur en gapingsanalise

Risikobestuur en gapingsontleding behoort deel te wees van die voortdurende verbeteringsproses wanneer voldoening aan beide ISO 27001 en ISO 27701 gehandhaaf word. Dag-tot-dag besigheidsdruk kan dit egter moeilik maak. Ons het ons eie ISMS.online platform projekbestuurnutsmiddels gebruik om gereelde hersiening van die kritieke elemente van die ISMS te skeduleer, soos risiko-analise, interne ouditprogram, KPI's, verskafferbeoordelings en regstellende aksies.

Gebruik ons ​​ISMS.aanlyn platform

Alle inligting met betrekking tot ons beleide en kontroles word in ons ISMS.aanlyn platform gehou, wat toeganklik is vir die hele span. Hierdie platform stel samewerkende opdaterings in staat om hersien en goedgekeur te word en bied ook outomatiese weergawe en 'n historiese tydlyn van enige veranderinge.

Die platform skeduleer ook outomaties belangrike hersieningstake, soos risikobeoordelings en resensies, en stel gebruikers in staat om aksies te skep om te verseker dat take binne die nodige tydskale voltooi word. Aanpasbare raamwerke bied 'n konsekwente benadering tot prosesse soos verskafferbeoordelings en werwing, met besonderhede oor die belangrike infosec- en privaatheidstake wat vir hierdie aktiwiteite uitgevoer moet word.

Wat om te verwag tydens 'n ISO 27001- en ISO 27701-oudit

Tydens die oudit sal die ouditeur 'n paar sleutelareas van jou IBS wil hersien, soos:

1. Jou organisasie se beleide, prosedures en prosesse vir die bestuur van persoonlike data of inligtingsekuriteit
2. Evalueer jou inligtingsekuriteit en privaatheidrisiko's en toepaslike kontroles om te bepaal of jou beheermaatreëls die geïdentifiseerde risiko's effektief versag.
3. Beoordeel uvoorvalbestuur. Is jou vermoë om voorvalle op te spoor, aan te meld, te ondersoek en daarop te reageer voldoende?
4. Ondersoek jou derdepartybestuur om te verseker dat voldoende beheermaatreëls in plek is om derdepartyrisiko's te bestuur.
5. Gaan jou opleidingsprogramme na om jou personeel voldoende op te voed oor privaatheid en inligtingsekuriteitsake.
6. Hersien jou organisasie se prestasiemaatstawwe om te bevestig dat hulle aan jou uiteengesitte privaatheid- en inligtingsekuriteitdoelwitte voldoen.

Die Eksterne Ouditproses

Voordat u oudit begin, sal die eksterne ouditeur 'n skedule verskaf wat die omvang uiteensit wat hulle wil dek en of hulle met spesifieke departemente of personeel wil praat of spesifieke liggings wil besoek.

Die eerste dag begin met 'n openingsvergadering. Lede van die uitvoerende span, in ons geval, die HUB en CPO, is teenwoordig om die ouditeur tevrede te stel dat hulle bestuur, aktief ondersteun en betrokke is by die inligtingsekuriteit- en privaatheidprogram vir die hele organisasie. Dit fokus op 'n hersiening van ISO 27001- en ISO 27701-bestuursklousulebeleide en -kontroles.

Vir ons jongste oudit, nadat die openingsvergadering geëindig het, het ons IMS-bestuurder direk met die ouditeur geskakel om die ISMS- en PIMS-beleide en -kontroles volgens die skedule te hersien. Die IMS-bestuurder het ook skakeling tussen die ouditeur en breër ISMS.aanlyn-spanne en -personeel gefasiliteer om ons benadering tot die verskillende inligtingsekuriteit- en privaatheidsbeleide en -kontroles te bespreek en bewyse te verkry dat ons dit in die daaglikse bedrywighede volg.

Op die laaste dag is daar 'n afsluitingsvergadering waar die ouditeur hul bevindinge van die oudit formeel aanbied en 'n geleentheid bied om enige verwante kwessies te bespreek en uit te klaar. Ons was bly om te vind dat, hoewel ons ouditeur 'n paar waarnemings geopper het, hy geen nie-nakoming ontdek het nie.

Mense, prosesse en tegnologie: 'n drieledige benadering tot 'n IMS

Deel van die ISMS.aanlyn etos is dat effektiewe, volhoubare inligtingsekuriteit en dataprivaatheid bereik word deur mense, prosesse en tegnologie. 'n Alleen-tegnologie-benadering sal nooit suksesvol wees nie.

’n Slegs tegnologie-benadering fokus daarop om aan die standaard se minimum vereistes te voldoen eerder as om data-privaatheidsrisiko's op lang termyn effektief te bestuur. Jou mense en prosesse, tesame met 'n robuuste tegnologie-opstelling, sal jou egter voor in die groep plaas en jou inligtingsekuriteit en data-privaatheiddoeltreffendheid aansienlik verbeter.

As deel van ons ouditvoorbereiding, het ons byvoorbeeld verseker dat ons mense en prosesse in lyn gebring is deur die ISMS.online-beleidpakketfunksie te gebruik om al die beleide en kontroles wat relevant is vir elke departement te versprei. Hierdie kenmerk maak dit moontlik om elke individu se lees van die beleide en kontroles na te spoor, verseker dat individue bewus is van inligtingsekuriteit en privaatheidsprosesse wat relevant is tot hul rol, en verseker dat rekords voldoen.

’n Minder effektiewe regmerkie-benadering sal dikwels:

• Betrek 'n oppervlakkige risiko-evaluering, wat beduidende risiko's kan oor die hoof sien
• Ignoreer sleutelbelanghebbendes se privaatheidskwessies.
• Lewer generiese opleiding wat nie by die organisasie se spesifieke behoeftes aangepas is nie.
• Voer beperkte monitering en hersiening van jou kontroles uit, wat kan lei tot onopgemerkte voorvalle.

Al hierdie maak organisasies oop vir moontlike skadelike oortredings, finansiële boetes en reputasieskade.

Mike Jennings, ISMS.online se IMS Bestuurder gee raad: “Moenie net die standaarde as 'n kontrolelys gebruik om sertifisering te verwerf nie; 'leef en haal asem' jou beleid en kontroles. Hulle sal jou organisasie veiliger maak en jou help om snags ’n bietjie makliker te slaap!”

ISO 27701 Padkaart – Laai nou af

Ons het 'n praktiese padkaart van een bladsy geskep, opgedeel in vyf sleutelfokusareas, om ISO 27701 in jou besigheid te benader en te bereik. Laai die PDF vandag af vir 'n eenvoudige wegspring op jou reis na meer effektiewe dataprivaatheid.

Laai nou af

Ontsluit jou voldoeningsvoordeel

Die verkryging van hersertifisering volgens ISO 27001 en ISO 27001 was 'n beduidende prestasie vir ons by ISMS.online, en ons het ons eie platform gebruik om dit vinnig, doeltreffend en met geen afwykings te doen nie.

ISMS.online bied 'n voorsprong van 81%, die metode van versekerde resultate, 'n katalogus van dokumentasie wat aangeneem, aangepas of bygevoeg kan word, en ons virtuele afrigter se altyd-aan-ondersteuning. Maak maklik seker dat jou organisasie aktief jou inligting en data privaatheid beveilig, sy benadering tot sekuriteit voortdurend verbeter en aan standaarde soos ISO 27001 en ISO 27701 voldoen.

Ontdek die voordele eerstehands – vra vandag nog 'n oproep met een van ons kundiges.