As jy dit oorweeg om 'n ISO 27001 dokument gereedskapstel, lees eers hierdie. 2011 was 'n jaar toe nogal baie gebeur het. 'n Koninklike troue, 'n Arabiese Lente, Amy Winehouse wat sterf (saam met baie ander noemenswaardige karakters), en 'n paar verskriklike aardbewings regoor die wêreld. Ons het ook ons eerste aardbewing gehad Allianties ook (relatief gesproke was dit 'n nare skok); 'n behoefte om ISO 27001 te bereik. En bereik dit met 'n onafhanklike UKAS-sertifisering om ons belangrikste kliënt tevrede te stel. Ons het dus ons koppe vir die kliënt geknik en weggegaan om uit te vind wat betrokke was. Die skuddings het daarna ’n geruime tyd voortgeduur.
Op daardie stadium (baie jare voor ons ISMS.online ontwikkel het) het ons letterlik geen idee gehad wat 'n inligtingsekuriteitbestuurstelsel (ISMS) is nie en ons het niks geweet van ISO 27001 nie. Die betrokke kliënt was mal oor ons spesialis pam veilige wolksagtewarediens en het ons vertel dat die ISO 27001 inligtingsekuriteitbestuurstelsel standaard het nodig geword omdat hulle ons platform as noodsaaklik beskou het vir die deel van meer sensitiewe inligting as voorheen.
Ons het gedoen wat die meeste mense doen wanneer hulle iets moet navors; soek aanlyn. Ons moes ook hoop dat daar 'n vinnige ISO 27001-implementeringsoorwinning beskikbaar was teen 'n prys wat ons kon bekostig, want die koste was nie ingereken in die ooreenkoms wat met die kliënt gesluit is nie, en ons moes dit redelik vinnig doen. Wie begroot immers vir 'n inligtingsekuriteitbestuurstelsel as hulle nie verstaan wat betrokke is nie?
Vroeë soektogte het ons laat verstaan dat dit belangrik was om ISO 27001-dokumentasie te hê. Dit het gelei tot soektogte na gratis ISO 27001 dokumentasie sjablone, gratis ISO 27001 gereedskap, en ISO 27001 dokument gereedskapstelle saam met databeskermingsnutsgoedstelle. En ons het ook die betaalde goed nagegaan, soos ons almal weet, gratis is selde in die praktyk. Die internet en hierdie onderwerp het klaarblyklik oor 8 jaar gekom, en so ook regulasie met dinge soos GDPR wat beteken dat inligtingsekuriteitbestuur vir almal selfs belangriker is, nie net vir die opgevoede klant nie. Dit is maklik om nou oor ons naïwiteit te lag, maar as gevolg van die bemarking en ons gebrek aan kennis was ons vasgehaak by die aanvanklike aantrekkingskrag van ISO 27001-dokumentgereedskapstelle as 'die kitsoplossing' om ons onafhanklike ISO-sertifisering te kry.
Ons het dus 'n 'omvattende gereedskapstel' van 'n bekende verskaffer van inligtingsekuriteitbestuur gekoop en gedink ons het goed gevaar en net sowat £1,000 27001 bestee. Toe het ons die ISO 27002- en ISO 100-standaarde gekoop wat ongeveer £XNUMX elk was. Laasgenoemde besluit was deurslaggewend vir ons om baie redes, nie die minste om die standaardstruktuur te verstaan, die nommering en om baie duideliker te wees oor wat al die verwagtinge was.
Die gereedskapstelle het geblyk 'n swak omvang van basiese Excel- en Word-dokumente te wees met outydse weergawebeheermeganismes en geen duidelikheid vir wat ons veronderstel was om volgende te doen nie. Kan ons net daardie ISO 27001-sjablone aanpas, dit in 'n Google Drive of sharepoint-werf gooi en die eksterne ouditeur wys ons is gereed vir ons Fase 1-oudit? Nie heeltemaal nie. Ons het baie tyd gemors om dit te probeer uitpluis. Die geleentheidskoste van ons konsultasiedagtarief het beduidend geword en ons was nie nader aan die doelwit van 'n gesertifiseerde ISMS wat ons klant kon vertrou nie.
By nabetragting is dit analoog aan die aankoop van 'n sambreel vir die oplossing van 'n aardbewingrisiko; 'n moontlik nuttige bate, maar nie naastenby genoeg nie, en jy kon daardie geld meer effektief bestee het. Miskien is dit selfs 'n las as jy ook deur die puntige sambreel in die oog gesteek word wanneer jy onseker was wat om daarmee te doen tydens die aardbewing ... Ek dryf natuurlik analogieë en meng my metafore 'n tikkie ver. Die letterlike punt is dat ISO 27001-dokumentasie op sigself nie genoeg is nie en die ISO-standaardkenners het duidelik gestel dat 'n 'bestuurstelsel' die belangrikste ding is om te bereik.
Laai jou gratis gids vir vinnige en volhoubare sertifisering af
Ons benodig net 'n paar besonderhede sodat ons vir jou jou gids kan e-pos om die eerste keer ISO 27001 te bereik
Laai jou gratis gids nou af en as jy hoegenaamd enige vrae het, dan Bespreek 'n demo or Kontak Ons. Ons help graag.
Ons ISMS is vooraf gekonfigureer met gereedskap, raamwerke en dokumentasie wat jy kan aanneem, aanpas of by kan voeg. Eenvoudig.
Ons metode vir versekerde resultate is ontwerp om jou met jou eerste poging gesertifiseer te kry. 100% suksessyfer.
Vergeet van tydrowende en duur opleiding. Ons Virtual Coach-videoreeks is 24/7 beskikbaar om jou deur te lei.
Druk dit die konsep van 'gereedskapstel' en ISO 27001-gereedskap te ver as jy net 'n klomp dokumente en sigblaaie kry? Miskien, hoewel wikipedia sigblaaie noem as 'n voorbeeld van 'n hulpmiddel! Dan is daar die 'toolkit' en 'toolbox' self, wat verskillende dinge vir verskillende mense beteken.
Stel jou dit voor vir jou gereedskap en gereedskapstel: dit lyk aantreklik, maar dit is onwaarskynlik dat jy die werk goed sal doen, tensy jy ongeveer vier jaar oud is.
Teenoor dit vir jou gereedskap en gereedskapstel: omvattend, wel georganiseerd en vinnig om te vind wat jy nodig het wanneer jy dit wil hê en ook maklik om te gebruik deur onervare professionele persone. Maar dit kan ook baie meer kos en nie wees wat jy ook regtig nodig het nie.
In werklikheid wanneer inligting sekuriteit e-handel webwerwe en konsultante praat oor gereedskapstelle wat hulle eintlik bedoel is ISO 27001-dokumentasie. Die werklike inhoudkwaliteit, omvang en leiding daarmee kan wissel van:
Nie een hiervan behaal eintlik ISO 27001-sukses alleen nie en skep ook nie 'n inligtingsekuriteitbestuurstelsel op sigself nie.
ISMS.online sal jou tyd en geld spaar vir ISO 27001-sertifisering en dit maklik maak om te onderhou.
Bestuurder van inligtingsekuriteit, Kamperfoelie Gesondheid
Om ISO 27001 te bereik en 'n onafhanklike sertifisering te kry, is daar 'n behoefte om dokumentasie (inhoud) te beskryf en te demonstreer wat in die praktyk werk vir ongeveer 140 spesifieke aktiwiteite. Dit sluit die voorbereiding, vergadering in ISO 27001 kernvereistes klousules en die aanspreek van die Bylae A kontroles. Om die dokumentasie te hê is dus een ding, om te demonstreer dat dit relevant is vir jou organisasie en dat jy die bestuurstelsel in die praktyk uitleef, is 'n ander ding.
Dit is dus belangrik om noukeurig te kwalifiseer wat presies in 'n dokumentasiegereedskapstel ingesluit is. Jy wil nie 'n Bob the Builder-gedeeltelike gereedskapkis met kwaliteit wat pas vir 'n vierjarige gebruiker kry as wat jy regtig wou hê, die volwasse omvattende Snap-on-gereedskapstel was. Net so, hoekom 'n omvattende gereedskapstel koop as jy reeds die moersleutel- en hamerekwivalente het. In die praktyk begin baie min organisasies hul implementering van nul af. Ons het 'n ISO 27001-implementeringsbenadering genaamd ARM geskep; die Metode van versekerde resultate. Dit help organisasies om die standaard te bereik deur te bou op wat hulle reeds het en pragmaties te wees in hul benadering tot ISO 27001-sertifisering.
Dit hang af van die kwaliteit en omvang van wat jy gekoop het, en wat jy nog nodig het om ook jou ISO 27001-bestuurstelsel te bedryf en te bestuur. Jy sal die dokumentasie en gereedskap maklik wil aanneem, aanpas en byvoeg om dit relevant te maak vir jou organisasie se gewenste werkswyse.
Met die krag en bekostigbaarheid van tegnologie, sal jy 'n digitale wil hê bestuurstelsel om te help koördineer en beheer jou dokumentasie, wat wys dat jy dit gereeld hersien, asook 'leef en asemhaal' al die relevante vereistes en kontroles op die manier wat die standaard verwag. Alhoewel daar baie verskillende maniere is om dit te doen, het ons geïdentifiseer wat ons as die beskou sleutelkenmerke van ISMS-sagteware.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
ISO 27001-dokumentasie is belangrik, en soos hierbo genoem, waarskynlik die eerste ding waarna mense selfs vandag soek wanneer hulle nuut is op die standaard. Baie navrae wat ons vandag vir ISMS.online ontvang, begin met die kommentaar "Ons het onlangs 'n dokumentgereedskapstel gekoop, maar besef nou dat dit nie was wat ons gedink het dit was nie ..." Ongelukkig gaan die meeste van daardie organisasies, soos ons gedoen het, byna seker £500-1500 gemors het en hul tyd om na daardie posisie te kom.
Dit is baie belangrik dat jy nie net die inhoud beskryf nie, maar ook demonstreer wat ook al beleid en beheer dokumentasie wat jy gebruik, wat duidelik blyk uit die operasionele gebruik daarvan. Byvoorbeeld as jou beleid sê jy gebruik 2-faktor-verifikasie en het stelsels administrateurtoestemmingskontroles, maak seker dat jy dit in die praktyk aan 'n ouditeur kan wys.
Jy kan nie net 'n risikobestuursmetodologie in 'n selfstandige dokument hê nie, jy moet risiko's gereeld in die praktyk identifiseer en bestuur – as dit moeilik is om daardie beleid in die praktyk te volg of nie gaan gebeur nie omdat die beleid of instrument lomp is, jou sertifiseringspogings sal misluk. Daarom kan dokumentasiegereedskapstelle 'n bate of 'n las wees, afhangend van wat jy koop, waar jy dit vandaan kry en hoe jy dit te werk gaan. Waarskuwing emptor!
Ons het lank en hard gedink oor watter vlak en omvang van aanvullende dokumentasie voorsien moet word met ISMS.online, vir diegene wat 'n voorsprong wil hê. Ons het uiteindelik die siening gehad dat ons, 'hand op die hart', kan help organisasies met tot 77% vordering met al hul vereistes en kontroledokumentasie die minuut wat hulle aanmeld, met ons materiaal wat so maklik is om aan te neem, aan te pas en by te voeg teenoor ander. Dit verminder die tyd wat spandeer word aansienlik en bespaar 'n groot hoeveelheid geld. Terugvoer van kliënte dui daarop dat dit die mees omvattende reeks materiaal daar is, veral wanneer dit aangevul word met ons Virtual Coach-diens en ARM wat help om ISO 27001-implementering te versnel.
Meer betekenisvol het ons seker gemaak dat al die inhoud praktiese en uitvoerbare dokumentasie binne die ISMS.aanlyn bestuurstelsel vorm. U moet immers 'n inligtingsekuriteitbestuurstelsel hê om ISO 27001 te bereik en 'n dokumentgereedskapstel is net nie genoeg nie, maak nie saak hoe goed dit is nie. Ons het dit baie jare gelede tot ons aansienlike koste gevind, en dit is jammer dat ander steeds in die skeure val (terug na daardie aardbewing;), maar met ISMS.online wat nou beskikbaar is, hoef jy nie een van hulle te wees nie.
Bespreek 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.