ISO 27001-implementering – 4 sleuteluitdagings en hoe om dit te oorkom
As jy die voordele van ISO/IEC 27001:2013, meer algemeen bekend as ISO 27001 – van wetlike, regulatoriese en kontraktuele vereistes tot nuwe sakegeleenthede – en ons oorweeg hoe jy implementering sal bestuur, ons het 'n paar sleuteluitdagings wat in die gesig gestaar word, uiteengesit en hoe om dit te oorkom.
- Verskaf hulpbronne van u implementering – lei op, werf of verkry?
- Hoe bestuur ons ontwrigting van die besigheid?
- Hoe verseker ons dat ISO 27001 nie net 'n regmerkie-oefening is nie?
- Hoe om die implementering van ISO 27001 minder uitdagend te maak
1. Verskaf hulpbronne van u implementering - lei op, werf of verkry?
Met aansienlike voordele verbonde aan ISO 27001 sertifisering, sal jy jou opsies rondom hulpbronne noukeurig wil oorweeg.
Die uitdaging wat aan baie besighede gestel word, is dikwels om nie die interne ervaring en kundigheid te hê om ISO 27001-implementering te bestuur nie en dit is die opsies wat tipies oorweeg word:
- Lei bestaande personeel op
- Werf 'n inligtingsekuriteitskenner
- Betrek konsultante
- Gebruik ISO 27001 dokument gereedskapstelle
- kyk sagteware vir bestuur van inligtingsekuriteit
Dit kan as selfstandige of gekombineerde opsies beskou word, afhangende van die grootte en kompleksiteit van jou besigheid.
Vir baie besighede is daar dikwels 'n eksterne drywer om te wees ISO 27001 gesertifiseer wat op sy beurt prioriteit plaas op 'n vinnige implementering. Dit kan die besluit oor hoe om hulpbroninligtingsekuriteit bestuur nogal aansienlik.
Inligtingsekuriteitbestuurstelsel (ISMS)
'n ISO 27001-voldoenende inligtingsekuriteitbestuurstelsel bied 'n sistematiese benadering om 'n stewige fondament te bou om voldoening aan of behaal ISO 27001-sertifisering, sowel as ander nasionale en internasionale regulasies, te demonstreer.
'n ISMS:
- Demonstreer jou toewyding tot inligtingsekuriteitbestuur
- Besluit bestuur van inligtingsekuriteit as 'n dissipline in jou besigheid-soos-gewoonlik prosesse
- Moedig samewerking en deel van verantwoordelikheid aan
- Stuur 'n padkaart na implementering, bedryf en voortdurende verbetering
'n Sagteware-gebaseerde ISMS bied 'n lewende stel beleide en prosedures binne jou organisasie wat sentraal gestoor word, verkieslik in 'n wolk-gebaseerde platform.
Dit is hoekom 'n ISO 27001 dokument gereedskapstel te kort skiet. Selfs die mees 'omvattende' gereedskapstelle is in wese Microsoft Excel- en Word-dokumente met onvoldoende weergawebeheermeganismes en geen duidelike volgende stappe vir ISO 27001-implementering nie.
2. Hoe bestuur ons ontwrigting van die besigheid?
Wanneer u begin werk aan 'n ISO 27001 sertifisering, sal die uitdaging dikwels wees hoe om dit saam met al die ander uit te voer met minimale ontwrigting, terwyl momentum behou word en sertifisering binne jou tydskale behaal word.
Werk as 'n span
Jy kan nie alleen ISO 27001 implementeer nie; jy sal as 'n span moet saamwerk.
Versprei die verantwoordelikheid en las deur die besigheid, eerder as om 'n inligtingsekuriteit "silo" te skep, wat soms kan gebeur wanneer 'n inligtingsekuriteitskonsultant ingebring word. Dit sal ontwrigting minimaliseer en die reis na en verder na ISO 27001-implementering is dikwels meer doeltreffend en effektief.
Nie net dit nie, maar maatskappye wat ISO 27001 op 'n deurdagte en holistiese manier benader, bly gesertifiseer deur te demonstreer dat almal behoorlik optree in hul dag-tot-dag, besigheid-soos-gewoonlik bedrywighede.
Kommunikeer goed
Tydens ISO 27001-implementering, kommunikeer vroeg, kommunikeer duidelik, kommunikeer voortdurend – neem almal saam op die reis. As bestuur van inligtingsekuriteit in die pad kom, doen jy dit waarskynlik verkeerd.
3. Hoe verseker ons dat ISO 27001 nie net 'n regmerkie-oefening is nie?
Top-down ondersteuning
Om die reis werklik effektief te maak, moet 'n organisasie 'n kultuur aanneem verandering wat van bo gedryf moet word met inkoop van alle senior bestuur.
Stroomlyn met sagteware
Gebruik sagteware vir bestuur van inligtingsekuriteit wat jou deur ISO 27001-implementering lei – met sjablone, raamwerke en beleide wat jy kan aanpas.
Tussen jou ISO 27001 onafhanklike oudits word daar van jou verwag om jou eie interne oudits te doen (Klousule 9.2) en reageer op die bevindings, bou dus inligtingsekuriteitsbestuur in besigheidsprosesse in deur voortdurend jou ISMS te hersien en te optimaliseer om deurlopende volwassenheid te verseker.
Verbind tot sertifisering
ISO-ouditeure stel gewoonlik voor dat ISO 27001-sertifisering ses maande of meer kan neem – maar daar is vinniger en meer volhoubare maniere om dit te bereik.
ons Versekerde resultate-metode (ARM) is een manier om te verseker dat jy sukses behaal. Ons metodologie bied 'n pragmatiese, risiko-gebaseerde benadering wat bou op watter beleide jy reeds in plek het terwyl jy vir toekomstige verbeterings beplan.
Hoe lank dit vir jou neem, hang af van jou doelwitte. As jy 'n kort sperdatum het, met 'n voornemende kliëntkontrak daarop, sal jy jou moet verbind tot 'n vinnige implementering om die belonings van ISO-sertifisering.
ISMS.online versnel ISO 27001 implementering. Met sy uitvoerbare ISO 27001 beleide en kontroles dokumentasie, kan jy vinnig aanneem, aanpas en byvoeg, dit bied vordering van tot 77% na die standaard, die minuut wat jy aanmeld.
4. Hoe om die implementering van ISO 27001 minder uitdagend te maak
Alhoewel die voordele opwindend is, kan dit om die minste te sê ingewikkeld en uitdagend wees om ISO 27001 vir die eerste keer aan te pak.
Moenie streef na 'perfekte sekuriteit' nie
Alhoewel ISO 27001 die vereistes bepaal vir hoe u inligtingbestuurstelsel geïmplementeer en bedryf moet word, hoef dit nie perfek te wees nie.
'n Goeie manier om te begin is om te dokumenteer wat jy vandag doen - en jy sal reeds 'n paar dinge doen - terwyl jy verbeterings vir die toekoms identifiseer en aanteken wat jou risiko's verder sal verminder tot aanvaarbare vlakke.
Solank jy is met inagneming van die vergelykende risiko vlakke – hoeveel risiko om nie beheer te implementeer nie teenoor hoeveel risiko vir besigheid van die implementering van die beheer – jy is op die regte pad.
Onthou, wees pragmaties, nie "perfek" wanneer jy jou kontroles kies en dokumenteer nie.
Die sleuteldoelwit is om te verseker dat u sekuriteitsbestuur ten volle aan ISO 27001 voldoen, terwyl u pragmatiese, effektiewe en doeltreffende beheermaatreëls verseker om u risiko's tot 'n aanvaarbare vlak te bestuur.
