ISO 27001 Vereenvoudig: Versekerde Resultate Metode (ARM) Gids

Implementeer ISO 27001 en onseker waar om te begin?

Een van die mees algemene vrae wat organisasies wat nuut is tot bestuur van inligtingsekuriteit vra, is 'waar moet ek mee begin Die ISO 27001: 2013?' Om onafhanklike sertifisering van die internasionaal erkende standaard te behaal, is daar ongeveer 140 dinge om te voltooi. Sommige neem 2 minute, en ander kan dae of weke neem, afhangende van die beginpunt en kompleksiteit van die organisasie. Dit is dus geen wonder dat besige individue oorweldig en onseker kan voel oor wat om te doen – en die volgorde om dit te doen – terwyl hulle hulpbron, koste en risiko optimeer.

So, wat is die moontlike paaie vir die implementering van jou ISO 27001 ISMS?

'n Gewilde roete is die 'inligtingsekuriteitbestuurgapingsanalise', waar jy baie tyd en geld sal spandeer om die gapings te vind. Maar jy kry steeds net 'n gapingsanalise (waarskynlik met die resultate van 'n moeilik om te navigeer en te bestuur sigblad) nie enige beweging vorentoe om jou ISMS. Daar is 'n beter manier.

Nog 'n algemene pad is om die gapingsanalise te vermy en net in aflewering te gaan. Sommige organisasies begin deur al die 93 te skep Bylae A kontroles, stel eerstens beleide, prosesse en prosedures in. Dit is egter ook sub-optimaal en kan tydrowend wees, veral as die onderneming geen risiko's het waar daardie beheermaatreëls van toepassing sou wees nie. Dit is 'n 'bottom-up'-benadering, en ons sal altyd voorstel dat dit die 'top-down' kernvereistes volg.

Die ISO-standaard begin jou goed deur die bo-na-onder-proses lei as jy wel by die begin met die ISO 27001-kernvereistes begin. Die kernvereistes (bestuursklousules) dek egter operasie verder as implementering, so sal die aandag aflei om na-sertifiseringsaktiwiteite te oorweeg (soos monitering, interne Oudit, hersiening en verbetering) voordat jy selfs jou ISMS begin gebruik. Dit is beter, maar nie die beste manier wanneer jy haastig is of die mees doeltreffende pad wil volg nie. Daar is 'n beter manier om resultate verseker, wat die beste uit al die algemene praktyke neem, en die vermorsing van 'n gapingsanalise vermy. Ons noem dit die Assured Results Method – ARM.

Streef na pragmatisme en nie perfeksie met jou eerste ISMS nie

Dikwels, maar nie altyd nie, is daar 'n eksterne dryfveer vir die bereiking van ISO 27001, soos 'n tendervereiste of klantdruk gegewe 'n verandering in risiko-aptyt met die voorsieningsketting (bv. as gevolg van kubermisdaad of regulering soos bv. BBP). Daardie buitebestuurders beteken gewoonlik stywe tydskale, so perfeksie is dikwels die vyand van die goeie wanneer dit kom by die bereiking van ISO 27001 sertifisering sukses tot 'n saamgeperste sperdatum, veral as na 'n onafhanklike sertifisering.

ISO 27001, soos die ander ISO-bestuurstandaarde, gaan alles oor voortdurende verbetering en is fundamenteel 'n risikobestuur-gebaseerde standaard. Om dus pragmaties oor die besigheidsrisiko te wees (met die veronderstelling dat dit ook vir kliënte aanvaarbaar is), en verbetering as deel van die bestuurstelsel te toon, word goed deur ouditeure ontvang. Dit toon ook 'n organisasie is in beheer en bewus van sy risiko's. As sodanig beklemtoon die ARM die pragmatiese bo die perfekte en laat jou toe om maklik voort te bou op wat jy vandag het. Dan beplan jy vir verbeterings oor tyd, geprioritiseer vanuit 'n risiko-perspektief.

As jy vandag nog nie genoeg doen nie, dan is die vooraf gekonfigureerde ISMS.aanlyn platform, die ingeslote uitvoerbare dokumentasie en die opsionele Virtual Coach-dienste sal jou help om resultate baie vinniger en teen laer totale koste as enige ander alternatiewe te kry. Die virtuele afrigter sluit ook die ARM-stappe na sukses in, wat hieronder opgesom word.

Ons maak dit maklik om ISO 27001 te bereik

Kry 'n voorsprong van 77%.

Ons ISMS is vooraf gekonfigureer met gereedskap, raamwerke en dokumentasie wat jy kan aanneem, aanpas of by kan voeg. Eenvoudig.

U pad na sukses

Ons metode vir versekerde resultate is ontwerp om jou met jou eerste poging gesertifiseer te kry. 100% suksessyfer.

Kyk en leer

Vergeet van tydrowende en duur opleiding. Ons Virtual Coach-videoreeks is 24/7 beskikbaar om jou deur te lei.

Hoe om ARM te volg vir vinnige en effektiewe ISO 27001 sukses

Stap 1: Beskryf die huidige organisatoriese inligtingsekuriteitsomgewing

A: Lê die grondslag vir sukses met inligtingsekuriteitbestuur

Dit beteken jy verstaan ​​jou organisasie en die relevansie van inligting-sekuriteit daaraan. Dit sluit oorwegings in vir partye wat sal belangstel in jou inligtingsekuriteitbestuur, die inligtingsbates wat jy moet beskerm, die risiko's wat jy in die gesig staar en jou topvlak Inligtingsveiligheidsbeleid.

Dit sluit feitlik adressering in Klousule 4, Klousule 5, en Klousule 6 van die ISO 27001-standaard saam met Bylae A 8, wat fokus op die inligtingsklassifikasie en inligtingsbate-inventaris. As jy dit nie reeds kan doen nie, bevat die ISMS.aanlyn-platform baie inhoud en gereedskap wat jou sal help om hierdie areas vinnig te beskryf. Dit bied ook 'n bank van die mees algemene inligtingsekuriteitsrisiko's, skakels na die relevante Bylae A-kontroles, en verseker deurslaggewend dat jy 'n benadering tot jou implementering volg wat reg is vir jou besigheidskultuur, risiko-aptyt en gewenste maniere van werk.

B: Beskryf huidige inligtingsekuriteitsbeleide en -kontroles

Jy sal reeds sekere beleide en kontroles in plek hê, selfs al is dit implisiet eerder as goed gedokumenteer. Dit is heel waarskynlik gebaseer op oorweging vir risiko's of vermeende "beste praktyk" en die kennis van professionele werknemers, of bloot net gesonde verstand benaderings rondom die beskerming van jou waardevolle inligting teen kwaadwillige partye. Dit is dalk nie deur middel van 'n formele gedoen nie risiko-assessering of gedokumenteerde benadering. So, vir hierdie stap, moet jy eenvoudig beskryf wat jy vandag doen, in die konteks van die standaard s'n beleide en kontroles in Bylae A, en koppel dit dan terug aan die inligtingsbates en hoofrisiko-werk wat jy sal doen om die grondslag te lê.

As jy nie maklik kan beskryf hoe jy werk vandag in die relevante inligtingsekuriteitsareas gebaseer op jou risiko-analise, sal jy dit ook nie in die Fase 2-oudit kan demonstreer nie, so 'n eksterne ouditeur sal geen ander keuse hê as om nie-konformiteite en potensiële mislukkingskennisgewings uit te reik. Dit is een van die algemene probleme wat organisasies in die gesig staar wat net inligtingsekuriteitsbeleiddokumentgereedskapstelle koop, dit dan in 'n gedeelde ry gooi en dink dit is goed genoeg vir sukses; dit is nie. Die uitvoerbare dokumentasie, inhoud en voorafgeboude gereedskap binne die ISMS.aanlyn-platform vir die Bylae A-kontroles sal jou help om jou denke te rig. Hulle gee jou ook die kans om dit aan te neem, aan te pas of daarby te voeg, wat groot hoeveelhede tyd bespaar en beslis maak dat dit reg is vir jou besigheid om ook in die praktyk te kan demonstreer.

C: Neem die oorblywende kernvereistes van ISO 27001 aan of pas dit aan

Nou kan jy teruggaan en beskryf hoe jy die oorblywende kernvereistes van die standaard sal benader, wat meer gefokus is op die operasionele administrasie en voortdurende verbetering van die inligtingsekuriteitbestuurstelsel. Dit sluit in hoe jy 'n paar administratiewe pynlike maar belangrike aspekte van die ISMS sal aanspreek, sowel as die duidelikheid van die leierskap en rolle wat die inligtingsekuriteitbestuurstelsel ondersteun. Die potensieel pynlike administrasie sluit in die dokumentasie van die Verklaring van Toepaslikheid vir ISO 27001 klousule 6.1.3 sowel as die prosesse vir voldoen aan inligtingsekuriteitsdoelwitte in klousule 6 van die kernvereistes. Hierdie deel spreek ook aan hoe die operasie bestuur word, interne oudits, bestuursoorsigte, regstellende aksies, nie-konformiteite en verbeterings word onderneem.

Soos die ander dele van ISO 27001, het ISMS.online reeds baie van die vereistes hier aangespreek, wat 'n relatief pynvrye benadering beteken, met outomatiese verslagdoening, en praktiese vooraf gekonfigureerde werkruimtes om daardie effektiewe werking maklik te demonstreer. Dit help jou baie om hierdie finale stel vereistes binne so kort moontlike tydsbestek te bereik.

Stap 2: Gaan regstreeks met die ISMS

Hoe gouer jy jou inligtingsekuriteitbestuurstelsel in operasionele modus kan skuif, hoe vinniger kan dit 'besigheid soos gewoonlik' word en wys jy neem inligtingsekuriteit ernstig op. Dit is waarskynlik dat jou ISMS sal organies met prosesse begin funksioneer, beheermaatreëls en beleide wat deur die implementeringstydperk ingestel word, is dit egter voordelig om 'n datum te noem wanneer die ISMS as "Regstreeks en operasioneel" beskou word.

Die voordele is:

• 'n Duidelik gedefinieerde "begin" punt voor wat die ouditeure nie moet oorweeg binne die omvang van die ISMS-oudit en moet nie dokumenteer nie bevindinge van nie-nakoming voor hierdie datum
• Dit fokus op verantwoordelike partye binne die organisasie vanaf wanneer daar van hulle verwag word om bewyse vir beheermaatreëls binne hul verantwoordelikheidsgebied te begin verskaf
• Enigiets voor hierdie datum kan tydens 'n oudit deur jou verwys word as "vroeë aanneming"

Jy hoef nie "perfek" te wees op die "gaan-regstreeks"-datum, maar dit is die moeite werd om 'n datum te kies wanneer 'n meerderheid van prosesse, beleide en kontroles gereed is vir werking. Dit is duidelik dat verbeterings steeds tussen hierdie datum en die Fase 1 of Fase 2 oudit aangebring kan word.

Ideaal gesproke moet die datum ten minste 1 maand voor die Fase 1-oudit wees (wat gewoonlik 1 maand voor die Fase 2-oudit is). Dit is om te verseker dat deur die tyd van die Fase 2-oudit, ten minste 2 maande se bewyse is opgehoop.

Stem saam en dokumenteer die formele "bekendstelling" datum van die ISMS. As jy ISMS.online gebruik, stel ons voor dat jy dit vaslê en opteken in jou ISMS Board area en dit ook aan jou personeel bekend maak in omvang, bv. via jou ISMS.online Groep kommunikasie en verwys dit vir die ouditeur om te sien of dit versoek word.

Stap 3: Beplan inligtingsekuriteitverbeterings

Tydens die werk om jou huidige implementering van inligtingsekuriteit te beskryf, is dit baie waarskynlik dat jy verbeterings geïdentifiseer het wat jy nodig het of wil maak. Dit kan wees om jou risiko's verder te verminder tot 'n aanvaarbare vlak, om operasionele doeltreffendheid te verbeter of selfs nuwe geleenthede te benut. Eerder as om te vertraag om destyds te verbeter, sou jy aantekeninge gemaak het oor hierdie areas vir verbetering en dit is nou tyd om daardie inligtingsekuriteitverbeterings te beplan. Dit sal wys jy is in beheer van die ISMS en wys aan jou senior bestuur sowel as 'n eksterne ouditeur dat jy voortdurend verbeter.

In ISMS.online moedig dit aan dat hierdie verbeterings in die "Regstellende aksies en verbeteringsbaan" aangeteken word (of as dit baie eenvoudig is, dan bygevoeg as take binne die betrokke risikobehandelingsplan.) Om te demonstreer dat effektiewe beheer en beplanning, moet jy nou al die items en ken eienaars toe, prioritiseer dit vir aksie, stel teikendatums vir voltooiing.

Tydens die prioritiseringsoefening moet die volgende in ag geneem word:

• Hoe maklik die verbeteringsimplementering sal wees
• Hoeveel risikovermindering of ander voordele sal behaal word
• As die verbeteringsimplementering na sertifisering voltooi kan word (waar die risiko-eienaar graag die bo-teikenrisikovlak aanvaar totdat implementering voltooi is)
• As die implementering voltooi moet word voor die ISO 27001 Fase 1 Oudit (verbeterings aan die beskrywing van kontroles)
• As die implementering voltooi moet word voor die ISO 27001 Fase 2 Oudit (verbeterings aan die implementering en werking van beheermaatreëls)

Waar geïdentifiseerde verbeterings nodig is voor die Fase 1 of Fase 2 Oudit, moet jy gemaklik wees dat dit bereik kan word voordat jy die betrokke Oudit bespreek. (Fase 1 en Fase 2 Oudits is gewoonlik ongeveer 1 maand uitmekaar).

Nadat jy Stap 3 voltooi het, sal jy op 'n baie goeie plek wees om in die Fase 1-oudit te slaag.

Stap 4: ISO 27001 Fase 1 en Fase 2 Oudits

Wat is die Fase 1-oudit vir ISO 27001?

Nadat jy Stap 1-3 voltooi het, sal jy op 'n wonderlike plek wees vir die Fase 1-oudit. Die ouditeur van die sertifiseringsliggaam sal die dokumentasie van die inligtingsekuriteitsbestuurstelsel wil sien en verstaan ​​dat u aan die vereistes voldoen het, ten minste in teorie! Hierdie stadium is meer 'n rekenaaroorsig van die ISMS met die ouditeur, wat die verpligte areas dek en verseker dat die gees van die standaard toegepas word. Vooruitdenkende sertifiseringsliggame begin dit op afstand doen met platforms, soos ISMS.online, wat koste verlaag en ook die proses kan bespoedig. Die uitkoms van hierdie oefening is 'n aanbeveling vir Fase 2-ouditgereedheid (dalk met waarnemings om tydens die Fase 2-oudit te heroorweeg) of 'n behoefte om enige tekortkominge wat geïdentifiseer is aan te spreek voordat verdere vordering kan plaasvind.

Wat is die Fase 2-oudit vir ISO 27001?

Nadat die Fase 1 Oudit voltooi is, het die ouditeur 'n basiese begrip van jou organisasie, sy inligtingsekuriteitsposisie en die benadering tot inligtingsekuriteitbestuur. Hulle sal nou wil sien dat jy werklik DOEN wat jy sê jy doen. Verder sal hulle verwag om te sien dat jy assesseer hoe effektief jou ISMS is en hoe jy voortdurende verbetering bestuur. Die doel van die Fase 2 Oudit is om te bewys dat jou ISMS werk soos beskryf, in ooreenstemming met die vereistes van die standaard en lewer die vlak van inligtingsekuriteit wat beoordeel word as voldoende en in verhouding tot die risiko's wat jou organisasie in die gesig staar. Fase 1 is redelik eenvoudig, maar Fase 2 gaan alles daaroor om die ouditeur daardie vertroue te gee dat jy demonstreer dat ISMS in 'n lewende asemhaling vorm oor jou vermelde omvang heen.

As 'n finale kruiskontrole voor die Fase 2-oudit, vra jouself hierdie eenvoudige vrae:

1. Het ons enige kritieke bevindings van die Fase 1 Oudit afgesluit?
2. Kan ons die werking van alle vereiste ISMS-prosesse bewys?
3. Word doelwitte gemeet en bereik?
4. Word die risikoregister bygehou?
5. Is sekuriteitsbewustheid en opleiding ontplooi aan diegene in omvang?
6. is bevoegdheidsgapings gesluit word?
7. Word interne oudits uitgevoer?
8. Is formeel ISMS Bestuur resensies uitgevoer word?
9. Word regstellende aksies en verbeterings aangeteken en nagespoor?
10. Kan ons die werking van alle relevante inligtingsekuriteitskontroles en -prosesse bewys?
11. Kan ons wys dat waar voorvalle geïdentifiseer word, dit mettertyd aangeteken, opgespoor, bestuur en geïmplementeer word?
12. Kan ons wys dat ons tevrede is met ons huidige risikoprofiel? Dit is:
    • 'n Risiko is aanvaarbaar met geen verdere optrede nodig op hierdie tydstip nie
    • 'n Risiko is tans aanvaarbaar wanneer geïdentifiseerde verbeterings oorweeg word wat aangeteken is en oor 'n gedefinieerde tydraamwerk geïmplementeer word?

As jy “ja” op hierdie vrae kan antwoord, dan is jy waarskynlik gereed vir die Fase 2 Oudit.

Die ouditeur sal verder ondersoek instel, dan 'n voorbeeld van jou benadering toets en byna seker personeel kies om aan te toon dat hulle opgelei, bewus en voldoen. Dit is baie belangrik dat u personeel en ander mense in die bestek (bv. verskaffers) in staat is om te demonstreer dat hulle verstaan ​​waar om te vind en u gestelde beleide en prosedures volg indien dit deur die ouditeur gevra word. ISMS.aanlyn bied Beleidspakke vir nakomingsdemonstrasie en ISMS-kommunikasiegroepe om personeel en sleutelverskaffers te betrek oor die onderwerp van inligtingsekuriteit. Die steekproefneming van bewyse kan die volgende insluit:

• Fisiese inspeksies (bv. terrein/kantoor rondloop)
• Onderhoude met personeel met verantwoordelikheid vir die ISMS of Inligtingsekuriteit
• Onderhoude met algemene personeel (bv. om bewustheid na te gaan)
• Inspeksie van logs en rekords (van alle soorte)
• Hersiening van die implementering van tegniese kontroles (bv. konfigurasielêers)

As jou omvang veelvuldige liggings insluit, sal die sertifiseringsliggaam 'n aantal daarvan wil oudit, veral webwerwe met enige sleutelfunksies. Hulle sal presiese besonderhede verskaf wanneer jy jou kwotasie van hulle versoek.

Daar is twee uitkomste van die Fase 2 Oudit:

1. Nie aanbeveel vir sertifisering nie – Dit is hoogs ongewoon aangesien enige groot probleme tydens die Fase 1 Oudit geïdentifiseer moes gewees het. Dit gebeur wel as aksies om nie-nakominge van die Fase 1 Oudit aan te spreek geneem is nie. Heel soms sal 'n voorheen onontdekte groot nie-konformiteit gevind word. As dit wel gebeur, sal die sertifiseringsliggaam byna seker die oudit onmiddellik staak en sal die stappe uiteensit wat nodig is om die kwessie te sluit. In die ergste geval kan 'n herhaling van die Fase 2-oudit nodig wees.
2. Aanbeveel vir sertifisering – Dit beteken dat onderhewig aan eweknie-evaluering van die oudit binne die sertifiseringsliggaam en moontlike hersiening deur die akkreditasie-liggaam (bv. UKAS) jy jou sertifisering sal ontvang.

U kan ook areas vir verbetering of geringe nie-konformiteite ontvang wat in ooreenstemming met die ouditeuraanbevelings aangespreek moet word.

Wat gebeur na die ISO 27001 Fase 2 Oudit?

As jy aanbeveel is vir sertifisering... BAIE GELUK! Geniet die oomblik, want dit is regtig harde werk om 'n onafhanklike gesertifiseerde inligtingsekuriteitsbestuur te bou wat mense kan vertrou. As dit eenvoudig was sou almal dit doen, maar hulle doen dit nie. Alhoewel ISMS.online die hele reis baie makliker en vinniger maak, is dit steeds 'n wonderlike prestasie wat die moeite werd is om te vier.

Die sertifiseringsliggaam sal dan die ouditverslag intern deur eweknie-evalueer en die verslag aan die akkreditasie-liggaam (bv. UKAS) deurgee wat na 'n monster van elke sertifiseringsliggaam kyk om te verseker dat standaarde gehandhaaf word. Sodra die akkreditasie-liggaam hul seël van goedkeuring gee, sal 'n sertifikaat uitgereik word. Die proses van hersiening en sertifiseringskwessie neem gewoonlik 3-4 weke. Die sertifikaat duur vir 3 jaar en jy sal toesigoudits met gereelde tussenposes onderweg hê, gewoonlik jaarliks.

Vir nou kan jy aanbeweeg deur "sukses te vier en daarop voort te bou", aangesien 'n ISMS lewenslank is, nie net die eerste sertifisering nie. Wat gegee kan word, kan maklik weggeneem word as jy nie jou benadering met verloop van tyd handhaaf en verbeter nie, so onthou om 'n bietjie gereeld te doen, en jy sal vind dat dit vinnig integreer in 'n baie hanteerbare, positiewe ervaring vir jou en die organisasie .