ISO-27001-sertifisering

Hoe om jou ISO 27001-sertifisering te handhaaf

Gids vir die handhawing van jou ISO 27001-sertifisering

Die handhawing van ISO 27001: Selfs met die beste hulp en ondersteuning beskikbaar, is dit 'n uitdaging om ISO 27001-sertifisering te behaal. Om die regte sertifiseringsliggaam te vind en deur die sertifiseringsproses te kom, verg tyd, moeite en werklike organisatoriese toewyding.

So as jy eers daarin geslaag het, kan dit aanloklik wees om fees te vier en dan net op te hou om aan dit alles te dink.

Maar ISO 27001 is nie 'n brand-en-vergeet-standaard nie. Om u ISO 27001-sertifisering te behou, moet u 'n ouditsiklus van drie jaar ondergaan.

Jou ISO 27001-sertifiseringsliggaam sal jou fyn dophou inligtingsekuriteitbestuurstelsel of ISMS. Dit sal gereelde eksterne instandhouding ondergaan oudits tydens u sertifisering drie jaar lewensiklus. Jy sal effektief moet hardloop interne oudits ook. Hulle is so groot deel van die ouditproses as jou aanvanklike sertifisering oudits.

En aan die einde van daardie drie jaar sal jy gereed moet wees vir ISO 27001-hersertifisering.

Hier is ons top vyf wenke vir die handhawing van ISO 27001

Ons sê dit altyd goed inligting-sekuriteit is 'n bietjie soos om na jou kar te kyk.

Om gelukkig en veilig rond te bly ry, moet jy op hoogte bly van alles van padbelasting en versekering tot gereelde dienste en MOT's. En jy sal gereeld al die klein besonderhede nagaan, van hoe jou bande dra tot of jy nie meer ruitskoonmaker het nie.

Inligtingsekuriteit is nie net 'n blokkie wat jy afmerk nie. Dit is 'n hele proses wat altyd aan die gang is.

Onthou dat jou ISMS lewenslank is, nie net vir ISO 27001-sertifiseringsdag nie

Die beste manier om jou ISO 27001 sertifisering is om ISMS-versorging deel van jou daaglikse sakebedrywighede te maak. Hoe meer jy dit alles kan gladmaak, hoe minder onderhoudspieke sal jy moet klim en trôe waarin jy vasval. En hoe veiliger sal jou databates wees!

Begin deur jou ISMS te hou interne oudits tjoef saam. Probeer en doen een per maand vir elf maande. Dit is baie beter as om hulle almal tot op die laaste oomblik oor te laat, en dan skielik te vind dat al jou interne bestuurstelseloudits 'n paar dae voor jou eksterne ouditeure aankom.

Maak seker dat jy gereelde resensies in jou organisasie doen

Jy is nie die enigste een wat 'n ogie oor jou ISMS moet hou nie.

Om jou senior leiers deur 'n gereelde bestuursoorsigproses te betrek, is 'n sleutel ISO 27001-vereiste. Daar is geen vasgestelde frekwensie vir hulle nie. Een per jaar word as aanvaarbaar beskou, maar vir 'n behoorlik bestuurde ISMS beveel ons aan dat bestuursoorsigte ten minste elke ses maande gehou word.

Dit sal jou help:

Hou senior bestuurders op hoogte van die vinnig-bewegende wêreld van datasekuriteit, deel besonderhede van:

  • Enige kubersekuriteitsbedreigings of data-oortredings wat u ISMS hanteer het
  • jou risikobepaling en risikobestuur strategieë
  • Ander ISMS- of ISO 27001-relevante gebeurtenisse en ontwikkelings

Handhaaf hul inkoop en algemene of spesifieke ondersteuning, sodat hulle:

  • Ondersteun en dryf beste praktyk regoor jou besigheid
  • Bly self aan u ISMS voldoen
  • Bly bewus van enige interne prosesse wat hul betrokkenheid benodig

Neem hul strategiese doelwitte in ag terwyl jy jou ISMS bestuur en ontwikkel, om:

  • Lei jou terwyl jy dit voortdurend verbeter
  • Maak seker dat al jou aktiwiteite op die regte pad is
  • Kyk na enige derde partye met wie hulle op senior vlak te doen het

En as ander departemente na dele van jou ISMS omsien, maak seker dat jy gereeld met hulle in kontak bly. Dit is baie frustrerend om bo-op jou eie verantwoordelikhede te wees en dan op die laaste oomblik uit te vind dat jou menslike hulpbronne, regs- of selfs intellektuele eiendomsmense (byvoorbeeld) het die bal laat val.

'n vermybare databreuk in 'n ander deel van jou organisasie is 'n onwelkome verrassing, maar met 'n bietjie beste praktykgedrag is dit 'n eenvoudige een om te vermy. En dit is die soort uitstekende sakegedrag wat ISO-standaarde gebou is om te definieer en aan te moedig.

Moenie dat ISMS-nakoming jou kollegas se radar laat val nie

Ons beveel 'n deurlopende inligtingsekuriteitsbewustheid en kommunikasie program.

Jy het waarskynlik reeds besonderhede van die ISO 27001-sertifiseringsproses gedeel. 'n Deurlopende kommunikasieprogram wat na sertifisering aanhou loop, sal jou kollegas help:

  • Bly bewus van die sekuriteitskontroles wat op hulle van toepassing is
  • Bly aan hulle voldoen
  • Hou 'n breër uitkyk vir moontlike voorvalle of kwessies

Om hulle te laat weet wanneer jou ISMS kuberaanvalle afgeweer het of enige ander inligtingsekuriteitsuitdagings hanteer het, sal hulle ook help om die waarde daarvan vir jou besigheid te verstaan.

Moontlike kommunikasieaktiwiteite sluit in:

  • Maandelikse plakkate wat besonderhede van enige inligtingsekuriteitsaanvalle of gebeurtenisse deel
  • Gereelde spoof phishing-e-posse om te sien hoeveel mense reageer toepaslik
  • Deurlopende inligtingsekuriteitsopleiding en opknappingsessies
  • Maak seker dat die regte mense toegang tot relevante dele van jou ISMS-dokumentasie het

En dit is net vir die begin. Daar is baie meer maniere waarop jy nakoming in jou organisasie kan verseker. As jy 'n interne kommunikasie-span het, beveel ons aan dat jy 'n gereelde hersieningsessie met hulle opstel. En as jy dit nie doen nie, sal jy jou eie ISO 27001-kommunikasieprogram moet implementeer.

Korrigeer enige ISMS-kwessies sodra dit verskyn

'n Onondersoekte ISMS is nie die moeite werd om te hê nie. So jy sal dit voortdurend dophou. En wanneer jy enige probleme identifiseer, sal jy aanteken regstellende stappe en 'n reaksie daarop te implementeer. Dis waar baie organisasies wegglip. Hulle versamel en teken aksies aan, maar verloor dan fokus en ignoreer dit net. Moenie daardie fout maak nie!

  • Bly altyd op hoogte van jou regstellende aksies.

Om nie op regstellende aksies te reageer nie, is waarskynlik die maklikste manier om 'n nie-nakoming by jou volgende oudit te kry. Wat dit ook een van die maklikste probleme maak om te vermy. Bou net gereelde regstellende aksiesessies in jou weeklikse en maandelikse skedule in. Waarom ouditprobleme waag wanneer dit so maklik is om te vermy

Hou 'n oog op ISMS-evolusiegeleenthede

ISO-sertifisering kan baie meer as net inligtingsekuriteit dek. En die bereiking van voldoening of sertifisering met ander standaarde en regulasies sal versterk:

  • Jou organisasie se handelsmerk en doeltreffendheid
  • Jou opbrengs op jou bestuurs-, risiko- en nakomingsbelegging

Ons maak dit maklik om jou ISO 27001 gesertifiseerde ISMS te ontwikkel in 'n geïntegreerde bestuurstelsel wat verskeie ISO- en ander standaarde dek. Hulle sluit in:

  • Privaatheidsbestuur gefokus op ISO 27701
  • Besigheidskontinuïteit gefokus ISO 22301

Die ISO-sertifiseringsproses is baie soortgelyk van standaard tot standaard, so sodra jy een sertifisering behaal het, sal die volgende een 'n eenvoudiger taak wees. As jy 'n geïntegreerde bestuurstelsel gebou het deur ons platform dit sal maklik wees om werk wat vir een standaard gedoen is, te hergebruik om 'n ander te bereik.

En dit gaan nie net oor ISO-sertifisering nie. Jou ISMS kan jou ook help om voldoening aan regulasies soos BBP en POPIA ook.

Algemene vrae

Hoe lank duur ISO 27001-sertifisering?

Jou organisasie se ISO 27001-sertifisering sal vir drie jaar duur.

Wat is die voordele om jou sertifisering te handhaaf?

Jou ISMS sal ontwikkel met eksterne bedreigings en jou eie maatskappy se groei. Dit sal robuust, relevant en doeltreffend bly, wat risiko's vir jou organisasie se inligtingsekuriteit tot die minimum beperk. En natuurlik is dit 'n prestasie op sigself om nie-konformiteite tydens jou sertifisering se lewensduur van drie jaar te vermy.

Is deurlopende oudits deel van die ISMS-instandhoudingsproses?

Gedurende die drie jaar lewensduur van jou ISO 27001-sertifisering sal jy jaarlikse eksterne oudits van jou sertifiseringsliggaam ondergaan en jou eie interne oudits uitvoer. Ons beveel aan om interne oudits een keer per maand uit te voer, eerder as in 'n haas net voor jou eksterne oudit.

Kan jou kollegas help om jou sertifisering te handhaaf?

Ja. Sodra jy sertifisering gevier het, moet jy seker maak dat hulle bewus bly van jou ISMS. Hulle moet verstaan ​​watter beleide en beheermaatreëls hulle raak en voldoen daaraan. Ons beveel aan dat u kommunikasieprosedures skep om hulle in kontak te hou met u ISO 27001-stelsels.

Kan jou senior bestuurders help om jou sertifisering te handhaaf?

Ja, dit is noodsaaklik. Om jou senior sakeleiers betrokke en op hoogte te hou tydens jou sertifisering is 'n sleutel ISO 27001-vereiste. Jy sal hul ondersteuning en inkoop nodig hê om jou ISMS te implementeer, in stand te hou en te ontwikkel. En jy moet seker maak jy voldoen aan hul strategie, en hulle voldoen aan enige relevante beleide en kontroles.

Kan u verskaffers help om u sertifisering te handhaaf?

As die maatskappye waarmee jou organisasie werk binne jou ISMS se bestek val, moet jy hul voldoening daaraan moet demonstreer. Dit beteken om relevante dele van sy dokumentasie met hulle te deel en seker te maak hul werknemers voldoen aan enige relevante beleide of beheermaatreëls.

Moet jou kliënte van jou ISMS weet?

Absoluut ja! Dit sal hul vertroue in jou bou, jou besigheid help om nuwe kliënte te wen en bestaande kliënte te behou. Maak seker dat die besonderhede van jou ISO 27001-sertifisering maklik is om met ander maatskappye te deel tydens jou verkoopsproses en hou jou kliënte op hoogte van enige relevante sekuriteitsprestasies.

Die voordele van ISO 27001 »

Laas geredigeer: 26 Januarie 2022
skrywer

Al Robertson

Al is 'n professionele skrywer en gepubliseerde skrywer wat 'n reeks onderwerpe dek. Hy het 'n reeks artikels geskryf oor voldoening en veral oor inligtingsekuriteit en hoe ISO 27001-sertifisering organisasies kan help om te groei.

Sien alle plasings deur Al Robertson

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind