ISO 27001-sertifisering, vereenvoudig

ISO 27001 Sertifisering

Sertifisering demonstreer 'n organisasie se verbintenis tot voortdurende verbetering, ontwikkeling en beskerming van inligtingsbates/sensitiewe data deur toepaslike risikobeoordelings, toepaslike beleide en beheermaatreëls te implementeer.

'n ISO 27001-gesertifiseerde organisasie adverteer na die wêreld wat hulle vertrou het, 'n Inligtingsekuriteitsbestuurstelsel (ISMS) geïmplementeer het in ooreenstemming met Klousule 4.4 van die standaard en voldoen aan 'n eksterne ouditeur/onafhanklike ISO-sertifiseringsliggaam, bv. UKAS.

ISO 27001-sertifisering is 'n besigheidsdifferensieerder en toon aan ander ondernemings dat hulle jou organisasie kan vertrou om waardevolle derdeparty-inligtingbates/data en intellektuele eiendom te bestuur; dit skep 'n magdom nuwe geleenthede en beskerm jou besigheid teen blootstelling aan risiko.

ISO 27001-standaard is die internasionaal erkende beste praktykraamwerk vir 'n ISMS

ISO 27001-erkenning is die waardevolste vir organisasies in die Verenigde Koninkryk wanneer jy gesertifiseer word deur 'n UKAS (United Kingdom Accreditation Service) geakkrediteerde sertifiseringsliggaam wat jou organisasie onafhanklik sal oudit en jou van ISO 27001-sertifisering sal voorsien.

Ander sertifiseringsliggame wat met UKAS vergelykbaar is, bestaan ​​internasionaal, wat help om die ISO/IEC 27001 Inligtingsekuriteitsbestuurstandaard te handhaaf waar 'n organisasie ook al poog om ISO 27001-sertifisering te behaal. ISO 27001-sertifisering gaan nie net oor watter tegniese maatreëls jy in plek stel nie. ISO 27001 gaan daaroor om te verseker dat die besigheidskontroles en die bestuursprosesse wat jy in plek het, voldoende en eweredig is vir die inligtingsekuriteitsbedreigings en -geleenthede wat jy in jou risiko-evaluering geïdentifiseer en geëvalueer het. En dit moet alles gedoen word met 'n besigheidsgeleide benadering tot die inligtingsekuriteitbestuursproses.

ISO 27001-sertifisering vs nakoming

Organisasies wat nuut is tot bestuurstelsels vir inligtingsekuriteit vra dikwels oor die verskil tussen ISO 27001-sertifisering en voldoening, veral wanneer hulle erkende standaarde soos ISO 27001 volg.

In eenvoudige terme kan voldoening beteken dat die organisasie die ISO 27001-standaard (of dele daarvan) volg. ISO 27001-sertifisering beteken dat die organisasie se ISO 27001 Inligtingsekuriteitsbestuurstelsel gesertifiseer is in ooreenstemming met die standaard deur ouditeure bekend as Sertifiseringsliggame.

Hoekom het jy ISO 27001-sertifisering nodig?

ISO 27001-sertifisering is van toepassing op enige organisasie wat wil of vereis word om sakeprosesse rondom inligtingsekuriteit, privaatheid en die beveiliging van sy inligtingsbates te formaliseer en te verbeter.

Die grootte/omset van 'n besigheid dikteer nie die behoefte aan ISO 27001 van 'n organisasie nie; selfs die kleinste maatskappye het dalk invloedryke kliënte of ander belanghebbendes, soos beleggers, wat die intrinsieke versekering soek om UKAS ISO 27001-sertifiseringsaanbiedinge te hê.

As gevolg van ISO 27001-sertifisering kan u organisasie demonstreer dat sy mense, prosesse, gereedskap en stelsels aan 'n erkende raamwerk voldoen. Stel jou 'n wêreld van finansiële verslagdoening of gesondheid en veiligheid voor sonder standaarde. Inligtingsekerheid is 'n bietjie agter daardie gebiede uit sertifisering en onafhanklike ouditperspektiewe. Tog, met die tempo van verandering wat vir byna alles versnel, vorder meer innoverende organisasies intern, veral met hul voorsieningsketting. Jy kan dus deur twee lense na ISO 27001-sertifisering kyk;

Vertroue in jou verskaffers

As 'n kliënt het jy vertroue nodig dat jou verskaffers gesertifiseer is om jou besigheidsrisiko's te help versag en geleenthede te ontgin, bv. uit meer konsekwente, hoër standaarde en laer totale koste en risiko van werk wat jy van hulle teëkom.

Bou vertroue in jou besigheid

Jou kliënte word slimmer; hulle hou van jy moet weet dat die voorsieningsketting voldoende beskerm word. Invloedryke kliënte vereis eenvoudig ISO 27001-sertifisering en dra die risikobestuursproses langs die voorsieningsketting oor. Daar is ook ander byvoordele, wat nog te sê van al die ekstra besigheid wat jy sal wen as jy volgens ISO 27001 gesertifiseer is teenoor agterstalliges wat dit nie doen nie. Goed ingeligte personeel sal byvoorbeeld vir betroubare handelsmerke wil werk. Aangesien versekeraars beter werkpraktyke inhaal, behoort dit ook laer premies te beteken vir organisasies met onafhanklik gesertifiseerde ISO 27001-inligtingsbestuurstelsel.

Die voordele van ISO 27001-sertifisering

Vir alle belanghebbendes is die sleutelboodskap vertroue en versekering wat verkry word uit ekstern geouditeerde inligtingsekuriteitsbestuur. ISO 27001-sertifisering bied verskeie voordele – byvoorbeeld:

Voordele vir jou

• Beskerm IP, handelsmerk en reputasie
• Wen meer besigheid van nuwe en bestaande kliënte
• Verminder die koste van verkoop
• Behou meer besigheid
• Verbeterde prosesse wat lei tot koste- en tydbesparings
• Vermy boetes as gevolg van regulatoriese nie-nakoming (soos GDPR)
• Vermy siviele regsgedinge wat voortspruit uit 'n data-oortreding
• Vermy koste van regstellende aksie as gevolg van voorvalle en/of oortredings
• Lok beter personeel

Voordele vir jou personeel

• Vertroue in die organisasie se volhoubaarheid
• Opleiding vir werk (en huissekuriteit)
• Duidelikheid deur beleide en prosedures
• Trots op die organisasie en hul rol in die beskerming daarvan

Voordele vir jou kliënte

• Vertroue en versekering in jou en jou voorsieningsketting
• Minder waarskynlikheid van 'n duur oortreding
• Verlaagde koste van aanboord van verskaffers

ISO 27001-sertifisering: is dit die moeite werd?

Om niks te doen is waarskynlik nie 'n opsie as jy toegang tot waardevolle inligtingsbates wat deur ander besit word, verkry en bestuur nie. Vir sommige organisasies is hul hele besigheid gebou op die ontwikkeling of bestuur van inligtingsbates.

So, in daardie geval, beteken die verlies van sommige of al daardie besigheid of om nie meer in die toekoms te wen nie, waarskynlik die moeite werd om te belê om volgens ISO 27001 gesertifiseer te word, veral as kliënte of ander belanghebbendes soos beleggers 'n risiko sien.

Die bereiking van ISO 27001-sertifisering is nie so ingewikkeld of duur as wat dit voorheen was nie as gevolg van innoverende oplossings soos ISMS.online. En, ten spyte van baie van die strategiese en finansiële voordele, beskou sommige leiers dit steeds as 'n 'gruwel'-aankoop en nog 'n burokratiese afmerk-boksoefening. Om sertifisering te behaal beteken tipies 'n tyd- en kostebelegging; soos die meeste strategiese beleggings, is dit die moeite werd om die opbrengs en breër voordele te oorweeg.

Wat is betrokke by ISO 27001-implementering?

Om ISO 27001 te implementeer moet jy 'n 'bestuurstelsel' ontwikkel wat bestaan ​​uit mense, prosesse en tegnologie.

Wat mense betref, het jy leierskap nodig om die implementering te lei om die besigheidsdoelwitte, kulturele norme, gereelde resensies te bereik en te wys dat die organisasie dit ernstig opneem. Ouditeure sal wil sien dat 'die gees van ISO 27001' toegepas word sowel as die dokumente op hierdie senior vlak, so 'n direkteur wat 'n oudit aandurf en voorgee dat hy die ISO 27001 Inligtingsekuriteitsbestuurstelsel verstaan, is ook 'n resep vir 'n ramp.

Jy sal ook mense nodig hê wat jou besigheid verstaan ​​met die vermoë, kapasiteit en selfvertroue om aan die vereistes te voldoen. Die 'mense'-belegging word bepaal deur die tegnologie wat gebruik word om die ISO 27001 Inligtingsekuriteitsbestuurstelsel (ISMS) te implementeer en in stand te hou.

Byvoorbeeld, jy sal nodig hê:

• ’n Digitale of papiergebaseerde oplossing om te beskryf hoe jy aan die kernvereistes van ISO 27001 voldoen en hoe dit oor tyd bestuur word (jy word ten minste jaarliks ​​geoudit – sien verder hieronder).
• Dit is 'n soortgelyke omgewing om al die Bylae A-kontroles en -beleide wat ontwikkel is te dokumenteer en te bestuur en dan te verseker dat dit beskikbaar gestel word aan die mense by wie hulle aansoek doen. Jy kan bewys dat hulle bewus is van hulle en betrokke is (onthou, hierdie mense kan personeel en verskaffers wees). Moet ook nie net kontroles en beleide ter wille daarvan skryf nie. Hulle moet almal gebaseer wees op die kwessies wat jou organisasie in die gesig staar, jou belangstellendes se verwagtinge, jou omvang en grense (bv. produkte, liggings, ens.) en die inligtingsbates wat jy wil beskerm. Jy moet ook hier 'jou werk wys' en dit alles dokumenteer. Dit word moeilik om dit goed te doen en dit mettertyd te onderhou met net word-dokumente, sigblaaie en 'n gedeelde Drive.
• Jou bestuurstelsel sal al die gereedskap hê wat daardie werk ondersteun, gedokumenteer en maklik deur die ouditeur gevolg.
  Hierdie aktiwiteite word almal risiko-geassesseer (met jou risikobestuursinstrument) om jou dan te help bepaal watter van die Bylae A-beheerdoelwitte jy moet implementeer, wat sonder om op hierdie stadium te tegnies te raak, lei tot jou Verklaring van Toepaslikheid. Het ek al gesê jy moet dit aan 'n ouditeur demonstreer om volgens ISO 27001 gesertifiseer te word?
• 'n Dokumentstel kan dalk help as dit uitvoerbaar is, maw jy kan dit prakties gebruik, en dit is maklik om aan te neem, aan te pas en by te voeg. Dit behoort ook binne daardie tegnologie-oplossing te integreer.
• As jy op die verskaffingsketting staatmaak, moet jy wys hoe jy daardie verskaffers en veral hul kontrakte beheer (dit is ook 'n fundamentele vereiste van GDPR-nakoming!)
• Die beheerdoelwitte en vereistes verwag die beskrywing van die benadering (bv. beleid oor hoe om sekuriteitsinsidente aan te spreek) en die demonstrasie daarvan (dws die sekuriteitsinsidentespoorder met al sy voorvalle, gebeure en swakhede detail en bewyse wat ook maklik toeganklik is).

Beplan, doen, kontroleer, voer op

Erkende benaderings tot die implementering van 'n stelsel sluit die PDCA (Plan, Do, Check, Act) benadering in. Dit was 'n standaard kwaliteit bestuursbenadering, maar is miskien 'n bietjie passé in sy letterlike vorm.

Die 2013/17-weergawe van ISO 27001 het 'n meer ratse en dinamiese proses gefasiliteer wat deurlopende evaluering en verbetering van die bestuurstelsel ondersteun, dus meer 'n intydse PDCA en die vermenging van die PDCA-bestelling ook vir 'n pragmatiese ratse benadering. Organisasies het gewoonlik hierdie soort dinamiese benadering vir hul operasionele sekuriteitstelsels, bv. firewalls, netwerkskandeerders, ens. Dit is meer geskik vir die voortdurend veranderende moderne risikolandskap. 'n Goed bestuurde inligtingsekuriteitbestuurstelsel sal in die toekoms 'n baie meer ratse, dinamiese en voortdurend gemonitorde ISMS wees.

1. Beplan vir ISO 27001 implementering

Wanneer u meer konteks en struktuur by u ISO 27001-implementeringsplan voeg, moet die hoofimplementeerder die volgende aspekte oorweeg:

• Wees duidelik oor die doelwitte, dwingende redes om op te tree en enige spertye wat jy wil haal – sowel as die gevolge as dit afwyk.
• Identifiseer die opskrif RoI sodat jy die regte mense en leierskap kan toepas – dit sal ook begrotingsontwikkeling help, indien dit nodig is.
• As die span nuut is tot ISO 27001, koop die ISO-standaarde en ISO 27002-leiding, en lees dit – vergelyk jou huidige interne omgewing met wat nodig is vir sukses ('n ligte gapingsanalise). Baie van die vereistes, prosesse en kontroles is dalk reeds in plek en moet geformaliseer word. Jy benodig dalk nie eksterne opleiding of hoofouditeur-implementeerderprogramme nie – dit kan verkwistend wees en negatief beïnvloed hoe jy wil hê dat jou Inligtingsekuriteitsbestuurstelsel as 'n praktiese ISMS moet werk.
• Oorweeg vooraf gekonfigureerde tegnologie-oplossings en gereedskap om te vergelyk of dit beter is as wat jy reeds intern het en beter gebruik van jou waardevolle hulpbronne. Sommige van hierdie oplossings, soos ISMS.online, het reeds al die gereedskap wat jy nodig het en sluit bruikbare dokumentasie in wat jy kan aanneem, aanpas en byvoeg vir 'n massiewe voorsprong, en bied virtuele afrigting en opleiding oor die bereiking van sertifisering.
• Begin … en breek al die werk in happiegrootte stukke op en vier die krag van klein oorwinnings. Om gereelde vordering na 100% volledigheid te sien is aansteeklik, so onthou om 'n sigbare, deursigtige en samewerkende oplossing te vind om daardie klein suksesse te deel!

2. Gee aandag aan die sleutelelemente van die ISO 27001-standaard

ISO 27001 kan van onder na bo gedoen word deur 'n beleidsgeleide benadering te volg, eenvoudig dokumentasie vir Bylae A-kontroles te skep. Die meer strategiese en besigheidsgeleide benadering volg egter breedweg die manier waarop ISO 27001 geskryf en logies is. Ons het dit eenvoudig soos volg opgesom:

• Kyk na die kwessies wat jou organisasie in die gesig staar en verstaan ​​die behoeftes van belanghebbende partye (belanghebbendes); identifiseer veral die inligtingsbates so vroeg as moontlik ook (jy sal later meer gedetailleerd daaroor kry).
• Stel die grense en omvang van die ISMS.
• Definieer jou organisasie se sekuriteitsdoelwitte vanuit sy ISMS.
• Stel die vermoë in plek vir gereelde implementeringsoorsigte, oudits en evaluasies om te wys jy is in beheer en dokumenteer (kortliks) vanaf dag 1 van die implementering om daardie reis met die ouditeur te deel en vir lesse wat geleer is.
• Identifiseer die risiko's vir daardie inligtingsbates en doen risiko-assesserings – as daar 'n tekort aan hulpbronne is, beveel ons aan dat u die hoërrisiko-inligtingsbates en meer beduidende bedreigings vir die CIA prioritiseer op grond van waarskynlikheid en impak.
• Skep 'n risikobehandelingsplan vir elke risiko. Waar toepaslik, kies Bylae A-kontroledoelwitte en -kontroles wat geïmplementeer moet word en spreek daardie risiko's aan – ideaal gesproke, koppel dit aan sodat jy weet jou bates, risiko's en kontroles pas by mekaar. As jy een deel verander of hersien, sien jy die impak op die verwante dele.
• Berei jou Verklaring van Toepaslikheid voor – dit vang baie mense uit, maar dit is 'n verpligte vereiste en kan baie tyd mors.

Onthou om alles te dokumenteer en wys die hele stelsel werk met daardie gereelde evaluering.

3. Evalueer jou ISO 27001 in ooreenstemming met die standaard en sy gereedheid om sertifisering te behaal

Dit is van kardinale belang om metings en resensies in plek te hê om te verseker dat jou ISMS sy doelwitte bereik. ISO 27001 sluit vereistes in vir beplande evaluering wat plaasvind in die vorm van:

• Bestuur resensies
• Interne oudits
• Eksterne oudits – waar toepaslik, kan dit van 'n ISO 27001-sertifiseringsliggaam of kliënte, of konsultante wees

4. Verbeter jou ISMS soos nodig en organiseer die fase 1-oudit deur die eksterne sertifiseringsliggaam

Die voortdurende verbeteringsproses is die sleutel tot ISO 27001-sukses en is iets waarna ouditeure sal kyk om bewyse hiervan te sien.

Sekuriteitsbedreigings en kwesbaarhede verander vinnig soos, in baie gevalle, groei organisasies of doelwitte. 'n Besigheid moet sy toewyding om regstellende aksies te neem en verbeterings aan sy ISMS te demonstreer. Korrek geïmplementeer, sal jou ISMS 'n besigheid in staat stel eerder as om te beperk hoe jy jou besigheid wil bestuur.

Hoe kry ek ISO 27001 gesertifiseer?

Nadat u u inligtingsekuriteitbestuurstelsel geïmplementeer het en die eerste bestuursoorsigte van die ISMS gedoen het, en die benadering in die praktyk begin uitleef, sal u goed op pad wees om volgens ISO 27001 gesertifiseer te word.

Dit is 'n twee-fase proses om gesertifiseer te word met die Verenigde Koninkryk Akkreditasie Diens se geakkrediteerde standaard:

Fase 1 Oudit

In eenvoudige terme, sal die sertifiseringsliggaam-ouditeur die dokumentasie van die Inligtingsekuriteitsbestuurstelsel wil sien en dat jy aan die vereistes voldoen het, ten minste in teorie! Dit is meer 'n rekenaaroorsig van die ISMS met die ouditeur op hierdie stadium, wat die verpligte areas dek en verseker dat die gees van die standaard toegepas word. Vooruitdenkende sertifiseringsliggame begin dit op afstand doen, wat koste verlaag en die proses bespoedig.

Die uitkoms van hierdie oefening is 'n aanbeveling vir Fase 2-ouditgereedheid (dalk met waarnemings om tydens die Fase 2-oudit te heroorweeg) of 'n behoefte om enige tekortkominge wat geïdentifiseer is aan te spreek voordat verdere vordering kan plaasvind.

Afhangende van jou status van interne oudits, kan daar van jou verwag word om 'n volledige interne oudit voor fase 2 te voltooi. Ons stel voor dat jy oor spesifieke besonderhede met jou ouditeure ooreenkom, aangesien sommige na effens verskillende dinge soek – dit is 'n bietjie soos sokkerreëls waar skeidsregters dit anders interpreteer . Maak seker jy vra hulle! ’n Goeie ouditeur sal wil hê jy moet suksesvol wees en jou help om te verstaan ​​wat hulle verwag om te sien vir ’n Fase 2-oudit.

Baie organisasies misluk by Fase 1, en dit is om 'n algemene stel redes wat oor die algemeen maklik aangespreek kan word met 'n goeie inligtingsekuriteitbestuurstelsel-oplossing (tensy jou leierskap nie betrokke is nie, dan sal niks help met die ISMS nie!)

Fase 2 Oudit

Dit is hier waar die ouditeure die bewyse sal begin soek dat die gedokumenteerde Inligtingsekuriteitsbestuurstelsel in die praktyk geleef en geasem word. Jou personeel sal betrek word, onderhoude gevoer word; die ISO 27001 ouditeur sal jou omvang assesseer rondom die fisiese ligging, stelsels, prosesse en prosedures. Soos die meeste oudits, sal dit 'n steekproefgrootte wees, en as jy die ouditeur met 'n saamgevoegde stelsel kan lei, sal hulle groot vertroue daaruit put.

Die uitkoms van hierdie oefening is óf 'n slaag óf 'n druip. As jy slaag, het jy daardie hoogs gewaardeerde sertifikaat, druip, en jy sal werk oor hê om te doen rondom nie-konformiteite voordat jy weer kan indien vir 'n ander oudit of 'n spesifieke hersiening van die nie-konformiteit.

Hoeveel kos ISO 27001-sertifisering?

Sertifiseringsouditering is nie die hoofkoste wat u moet oorweeg nie. Die hoogste koste is die tyd en moeite vir die verkryging van sertifisering van die mense wat betrokke was by die aanvanklike bou van jou Inligtingsekuriteitsbestuurstelsel en die instandhouding van die ISMS jaar na jaar daarna.

Dit kan geleentheidskoste van inkomsteverlies uit senior hulpbronne hê, kernbevoegdhede-afleiding vir die besigheid en hoër koste van konsultasie as jy hulp van buite inbring sonder 'n sterk tegnologiese beginpunt.

Sertifiseringskoste is egter steeds die moeite werd om te oorweeg en is gebaseer op jou organisasie se grootte, omvang, prosesse, ens. Die meeste sertifiseringsliggame sal óf 'n vinnige kwotasie aanlyn of 'n opvolg gee.

ISO 27001-sertifiseringskoste moet oor 'n 3-jaar sertifiseringsiklus oorweeg word:

• Aanvanklike oudit- en sertifiseringsoudit – fase 1 en 2
• Toesigoudits vir Jaar 1 en 2
• Dan gaan die siklus weer voort, met hersertifisering elke drie jaar.

Ouditfooie is tipies ongeveer £1,000 1 per dag (BTW uitgesluit), en die aantal dae wat benodig word, wissel volgens die grootte van die organisasie en die omvang van die bestuurstelsel. Byvoorbeeld, 'n klein besigheid met 'n eenvoudige omvang (bv. een produk, min prosesse, een Hoofkantoor, ens.) sal dalk een dag nodig hê vir 'n Fase 2 oudit, twee dae vir 'n Fase XNUMX oudit, en 'n bykomende dag per jaarlikse toesig.

Dit is ook die moeite werd om uit te kyk vir meer innoverende ouditliggame wat bereid is om na afgeleë stadium 1-oudits te kyk. Dit sal waarskynlik slegs oorweeg word waar die bestuurstelsel heeltemal digitaal gehou word, soos dit is met ISMS.online. Dit beteken dit is makliker vir hulle as ouditeure om die implementering by die werk te sien. Dit sal koste bespaar op die onvermydelike reiskoste en tyd.

Die handhawing van jou ISO 27001-sertifisering

ISO 27001-sertifisering word oor 'n 3-jaar siklus gedoen:

• Fase 1 en 2 dan toekennings van die sertifikaat
• Toesigoudit 1 (gewoonlik jaarliks ​​of kan meer gereeld wees gebaseer op omvang, risiko en grootte)
• Toesig oudit 2
• Derdejaar hersertifisering en meer gedetailleerde evaluering

Dit kan 4-6 weke neem om by 'n ouditliggaam te bespreek, so hou daardie tyd in gedagte, en ons beveel aan om 'n ouditeur te vind wat goed vertroud is met jou sektor en grootte van besigheid. Andersins kan dit meer of minder duur wees, maar as hulle nie jou inligtingsekuriteitbestuurstelsel-uitdagings vanuit 'n besigheidsperspektief verstaan ​​nie, kan dit 'n pynlike proses wees. Onthou, die ouditeur is oor die algemeen altyd reg (alhoewel jy makliker kan demonstreer hoekom jy iets gedoen het en jou risiko-aptyt, kontroleseleksie ens. verduidelik het, as jy 'n goed bestuurde ISMS het.)