Wie sal betrokke wees by die implementering van ISO 27001?

Wat is ISO 27001?

ISO/IEC 27001:2013 – om die huidige internasionale weergawe sy volle verwysing te gee – wat algemeen na verwys word as ISO 27001, is die internasionaal erkende standaardspesifikasie vir 'n Inligtingsekuriteitbestuurstelsel (ISMS).

ISO 27001 is deel van 'n familie van standaarde in die ISO 27k-reeks, wat 'n wye verskeidenheid inligting en kuberveiligheidsonderwerpe en nakomingsleiding dek.

Die ISO 27k-familie is self deel van 'n breër familie van bestuurstelselstandaarde gebaseer op die ISO/IEC-riglyne Deel 1 (11de Uitgawe 2020) Bylae SL, wat 'n gemeenskaplike Bestuurstelsel-raamwerk definieer.

Dit is ontwerp om 'n risiko-gefokusde besigheidsbestuurstelsel moontlik te maak wat die beskerming van inligtingsbates in enige vorm – bv binne IT-stelsels, op hardekopie of digitale media, en selfs binne mense se koppe. Dit is nie bedoel om as 'n tegniese sekuriteitstandaard gebruik te word nie.
Die standaard bevat:

• Die verpligte "vereistes" (dikwels bekend as die "bestuurstelselklousules") wat die ISO-riglyne Deel 1 Bylae SL-raamwerk volg; en
• Aanhangsel A – 'n voorbeeldstel van risiko-kiesbare kontroles wat tipies gebruik word om risiko's tot 'n aanvaarbare vlak te help verminder.

Kom meer te wete oor die kernvereistes van die ISO 27001 en die Bylae A-kontroles wat u kan kies om te implementeer na hierdie skakel.

Hoekom is ISO 27001 belangrik?

Alle organisasies skep, bestuur en versprei inligting, en alle inligting het 'n waarde. Die implementering van 'n internasionaal erkende inligtingsekuriteitbestuurstelsel sal help om die waarde te beskerm en aansienlike besigheidsvoordeel en opbrengs op belegging te gee.

Sulke voordele kan insluit:

• Die vermoë om te werk in gereguleerde markte wat aantoonbaar vereis inligting-sekuriteit.
• Die geleentheid om geakkrediteerde sertifisering as 'n kritieke onderskeid te gebruik om nuwe besigheid te wen.
• Die vermindering in operasionele bokoste deur te fokus op sekuriteitskontroles waar dit werklik nodig is kritiese risiko's te verminder en inligtingsekuriteitbestuursprosesse te stroomlyn.
• Die vermindering in koste verbonde aan reaksie op inligting en kuberveiligheidsvoorvalle.
• Makliker aantoonbare voldoening aan wetgewing en regulasie en die vermindering van moontlike strawwe vir oortredings van so 'n.

Watter rolle word benodig vir die implementering van ISO 27001 Inligtingsekuriteitsbestuurstelsel?

Terwyl ISO 27001 nie vereiste rolle spesifiseer nie; verskeie fundamentele verantwoordelikhede sal toegewys moet word om te verseker dat die ISMS in lyn is met jou organisasie se kultuur en aard en sy sakebedrywighede en inligtingsrisiko's suksesvol tot 'n aanvaarbare vlak bestuur.

Die term "belanghebbendes" beteken verskillende dinge vir verskillende mense, en dikwels sal jy hoor van primêre, sekondêre en selfs tersiêre belanghebbendes, direkte en indirekte belanghebbendes. Die ISO-bestuurstelselstandaarde praat nie van belanghebbendes nie, maar eerder van “belanghebbende partye”, maar dit beteken nie dat jy nie interne belanghebbendes vir die ISMS sal hê nie.

Primêre Belanghebbendes

Aangesien ISO 27001 eerstens 'n besigheidsbestuurstelselstandaard is, moet jou primêre belanghebbendes op die mees senior bestuursvlak sit – dit gaan tog oor die beskerming van jou besigheid!

U, primêre belanghebbendes, sal waarskynlik die volgende insluit:

• “C” of Uitvoerende Raad-vlak verteenwoordiging en borg.
• Senior risiko-belanghebbende – moontlik 'n Senior Inligtingsrisikobeampte (SIRO) of soortgelyke rol wat verantwoordelik is om toesig te hou oor alle besigheidsrisiko's, waarvan inligtingsrisiko 'n deel vorm.
• 'n Individu of span verantwoordelik vir die ISMS - moontlik 'n Hoof Inligtingsekuriteitsbeampte (CISO), Inligtingsekuriteitsbestuurder (ISM) of soortgelyk, wat inpas by jou organisasie se kultuur en terminologie en sy bestaande struktuur.
• 'n "Lead implementer" of soortgelyke genomineerde hulpbron verantwoordelik vir die bestuur van die implementering van die ISMS.

Sekondêre Belanghebbendes

Sekondêre belanghebbendes sal diegene wees wat verantwoordelik sal wees vir 'n deel van die ISMS. Dit sal onderwerpverteenwoordigers van regoor die organisasie en moontlik sy vennote en selfs verskaffers insluit.

Die lys van sekondêre belanghebbendes sal bepaal word deur die grootte en aard van jou organisasie, maar kan die volgende insluit:

• Inligting- en kuberveiligheidspesialiste wat relevant is vir jou organisasie se bedrywighede.
• IT-sekuriteit en tegniese hulpbron.
• HR verteenwoordiging.
• Fisiese sekuriteit verteenwoordiging – moontlik “Facilities” of soortgelyk
• Regs- en nakomingsverteenwoordiging
• Interne Oudit
• Verteenwoordigers van besigheidsdepartemente wat verantwoordelik is vir u kritieke besigheidsprosesse – die ISMS moet hiermee werk, nie 'n blokkeerder word nie. Om sakebestuurders regoor die organisasie te betrek sal dus fundamenteel wees om dit te bereik.
• Verteenwoordigers van verskaffers of vennote wat het toegang tot die organisasie se inligting.

Hoofimplementeerderrol gedefinieer

Die "Lead Implementer"-rol is die individu wat verantwoordelik is vir toesig oor die ISMS-implementering en moet as sodanig iemand wees met die kennis en bevoegdheid wat vir die taak vereis word.

Hulle sal die ISO 27001-standaard en gepaardgaande leidingstandaarde van dieselfde familie moet verstaan. Hulle sal ook die sleutelprosesse moet ken vir implementering, bedryf, monitering en die ISMS te verbeter om te verseker dat die ISMS doeltreffend en effektief is.

Tradisioneel word dit óf "aangekoop" in die vorm van 'n spesialiskonsultant óf "ingebou" deur een of meer bestaande personeellede op 'n ISO 27001 lei-implementeerder opleidingskursus te stuur. Albei hierdie is gewoonlik duur opsies.

Die ISMS.aanlyn platform verskaf verskeie hulpmiddels wat help om die kennis- en bevoegdheidsgaping te vul wat help om die behoefte aan sulke uitgawes te verminder of uit te skakel. Dit sluit in:

• ons handelbare inhoud – gedokumenteerde beleide en kontroles wat jy maklik kan aanneem, aanpas of byvoeg, en dit beteken jy kan tot 77% van die dokumentasie hê wat jy van dag 1 af benodig.
• ons "Versekerde resultate metode" (ARM) – wat 'n padkaart deur vakkundiges is wat jou logies en doeltreffend deur die implementering van jou ISMS lei.
• Voorafgeboude gereedskap – soos ons risikoregister wat insluit:
  • 'n Voorbeeldbank van meer as 100 algemene inligtingsekuriteitsrisiko's,
  • Ons belangstellendes kaart,
  • Ons spore vir die bestuur van voorvalle, regstellende aksies en verbeterings,
  • En ons regs- en regulatoriese register, wat tipies relevante wetgewing en regulasies bevat.
• ons "Virtuele afrigter" – 'n opsionele ekstra wat kundige advies en leiding verskaf deur inhoudgekoppelde kontekstuele video-, oudio- en tekstuele verduidelikers.

Vind uit hoe ons meer oor hoe ISMS.onlines vereenvoudigde, veilige en volhoubare platform vir jou behoeftes kan pas na hierdie skakel.

Topbestuur

"Alles begin bo" - ISO 27001 is eerstens 'n besigheidsbestuurstelsel wat ontwerp is om die beskerming van 'n organisasie se inligtingsbates te bestuur en inligtingsrisiko's tot 'n aanvaarbare vlak te verminder.

Sonder ondersteuning van topvlakbestuur is dit onwaarskynlik dat die implementering en werking van die ISMS suksesvol, doeltreffend of effektief sal wees.

ISO 27001 definieer sommige fundamentele klousules wat die verantwoordelikheid van senior bestuur is, Insluitend:

• 5.1 Leierskap en toewyding – Topbestuursverbintenis tot die integrasie van inligtingsekuriteit binne die organisasie en sy prosesse
• 7 Ondersteuning – voorsiening van voldoende en bevoegde hulpbron vir die ISMS
• 9.3 Bestuursoorsig – 'n verbintenis vir die senior bestuur om op ten minste 'n jaarlikse basis die doeltreffendheid van die ISBS te hersien

Inligtingsekuriteit / Bestuurspersoneel

Fundamenteel tot die suksesvolle implementering en werking van die ISBS sal die inligtingsekuriteit en bestuurspersoneel wees wat met die ISBS se algehele bestuur en sy komponente getaak is.

Dit is gewoonlik personeel wie se primêre rol gefokus is op inligtingsekuriteit en bestuur. As jou organisasie egter klein is, is dit waarskynlik een persoon wat ook 'n ander dagtaak het.

Die ISMS.aanlyn-platform kan help om die kennis, bevoegdheid en vertroue te verskaf waar hulpbronne op kundige vlak nie beskikbaar is nie en verseker dat die ISMS nie 'n lastige bokoste word nie.

IT-afdeling of verskaffer(s)

Aangesien baie inligting op of deur IT-stelsels, netwerke en toepassings gestoor, verwerk en versend word, sal daar 'n behoefte wees om te verseker dat toepaslike interaksie met IT-departemente en/of verskaffers in 'n vroeë stadium in die ISBS ingebou word.

Baie van die kontroles wat geïmplementeer sal word om jou inligtingbates te beskerm, sal tegniese kontroles wees wat ontwerp, ontwikkel, geïmplementeer en bedryf word deur jou IT-afdeling of verskaffers.

Die bestuur van die verwagtinge en verdeling van verantwoordelikhede vir die tegniese aspekte van inligting en kuberveiligheid sal krities wees vir die ISMS se sukses.

Interne ouditeur(e)

ISO 27001, soos met al die ISO-bestuurstelselstandaarde, vereis dat 'n organisasie 'n program van interne oudits moet hê om die effektiewe werking van die ISMS en sy vermoë om inligtingsrisiko's tot 'n aanvaarbare vlak te verminder, te verifieer.

Op 'n minimum moet die ISMS-bestuursklousules (4-10) jaarliks ​​geoudit word, en Bylae A-kontroles geoudit word binne die sertifiseringstydperk (3 jaar vir UKAS-geakkrediteerde sertifiserings).

Die keuse van interne ouditeure moet objektiwiteit verseker – dit wil sê jy kan nie jou eie werk oudit nie – en bevoegdheid – die ouditeur moet die kennis en bevoegdheid hê om die oudit uit te voer.

Ons Virtual Coach-diens is voorafgebou met alles wat u moet weet oor interne oudits of lees ons vereenvoudigde gids tot ISO 27001:2013 Interne Oudits met leiding en idees oor hoe jy jou doelwit kan bereik.

Data Protection Beampte

Die Data Protection Beampte is tipies verantwoordelik om die toepaslike bestuur, gebruik en beskerming van persoonlik identifiseerbare inligting (PII) binne die organisasie te verseker. Sulke inligting sal verband hou met 'n organisasie se personeel, en dikwels met dié van sy kliënte.

Hierdie verantwoordelikheid sluit duidelik in om te verseker dat voldoende inligting en kuberveiligheidskontroles en -prosesse in plek is om hierdie tipe inligting te beskerm.

Die rol van die Databeskermingsbeampte word nie gespesifiseer of gemandatiseer binne ISO 27001 nie, maar ander relevante wetgewing en regulasies soos die Britse Databeskermingswet (2018) en die Algemene databeskermingsregulasie (GDPR) vereis wel 'n rol van hierdie aard. Daarbenewens impliseer voldoening en ander kontroles binne ISO 27001 die behoefte aan so 'n rol.

Wie sal ons ISMS vir ISO 27001-sertifisering oudit?

As jy op soek is na erkende en gerespekteerde bereik sertifisering vir jou ISMS – nodig om die maksimum voordeel daaruit te trek – jy sal 'n ISO 27001-geakkrediteerde sertifiseringsliggaam moet inskakel om die vereiste oudits vir sertifisering uit te voer.

Wat is ISO 27001-sertifiseringsliggame?

Die sertifiseringsliggame voorsien ouditeure van die vaardighede, kennis en bevoegdheid om die sertifiseringsoudits uit te voer en te verseker dat sertifisering op 'n konsekwente vlak geakkrediteer is.

Sulke organisasies word gewoonlik op die webwerf van die territoriale akkreditasie-liggaam gelys. In die VK is die akkreditasie-liggaam die Verenigde Koninkryk Akkreditasiediens (UKAS), en hulle hou toesig oor die geakkrediteerde sertifiseringsliggame in die VK.

Hoe lank sal dit neem om die ISMS te bou?

Soos met enige beduidende projek, sal die tyd wat dit neem afhang van wat gedoen moet word en die kapasiteit en bevoegdheid van die hulpbronne wat beskikbaar gestel word om dit te doen.

Vir ISO 27001 is die "wat gedoen moet word" goed omskryf binne die standaard, en die hulpbronne wat beskikbaar gestel word, sal deur jou organisasie bepaal word.

Tipies, vir 'n klein tot mediumgrootte organisasie met 'n paar voorafbestaande beleide en kontroles, kan die bou van 'n ISMS enige plek van 6 maande tot 'n jaar neem (afhangend van hulpbronvlakke). Soms is dit selfs langer as beskikbare hulpbronne hul tyd oor ander poste moet verdeel. 'n 150-dae (voltydse ekwivalent) projek is redelik algemeen.

Die ISMS.aanlyn platform kan help om jou hulpbronvlakke aansienlik te verminder. Afhangende van hoeveel van die uitvoerbare inhoud jy kan aanneem of maklik aanpas, kan die bou van jou ISMS met soveel as 75% of 80% verminder word. Sommige kliënte kan van 'n staande begin tot gereed wees om die sertifiseringsouditproses binne 6 weke te begin.

Hoe lank sal dit neem om ISO 27001-sertifisering te kry?

Sodra jou ISMS gebou is, vind die sertifiseringsouditproses in twee fases plaas met 'n verloop van tydsbestek van 2 maande wat alledaags is. Tipies is die twee-fase proses:

• Fase 1 Oudit – ISMS Dokumentasie hersiening
• Regstellende aksie tydperk – gewoonlik 4-6 weke tussen die twee stadiums om 'n organisasie in staat te stel om enige regstellende aksies te neem wat voortspruit uit die Fase 1 Oudit
• Fase 2 Oudit – Bewysende “sertifisering” oudit
• Sertifisering en akkreditasie liggaam hersiening - tipies 2-4 weke. Die sertifiseringsliggaam sal die oudit intern eweknie-evalueer en die oudit aan UKAS voorlê, wat opsioneel die oudit vir hersiening kan monster.

Hoe kies ek 'n sertifiseringsliggaam?

Baie faktore sal jou keuse van sertifiseringsliggaam beïnvloed.

Die belangrikste hiervan sal wees om te verseker dat die sertifiseringsliggaam geakkrediteer is. Dit is moontlik om nie-geakkrediteerde sertifisering te verwerf. Dit sal egter beperkte integriteit en waarde hê. Ons beveel sterk aan dat jy nie hierdie roete afgaan nie.

As jy reeds ander sertifikate het, soos:

• ISO 9001 (gehaltebestuur)
• ISO 14001 (omgewingsbestuur)
• ISO 45001 (bestuur van beroepsgesondheid en -veiligheid)*

Jy sal waarskynlik eers jou bestaande sertifiseringsliggaam nader om te sien of hulle ook vir ISO 27001 geakkrediteer is.

*let wel – as jy reeds sertifisering het vir ander bestuurstelselstandaarde, kan jy baat by die integrasie daarvan in 'n enkele "Geïntegreerde bestuurstelsel" – en die ISMS.online platform kan help om dit te bereik.

Watter hulpbronne sal ek benodig vir die implementering van ISO 27001?

Ons het verskeie rolle hierbo geïdentifiseer wat betrokke sal wees by die implementering van jou ISMS, maar in wese sal jy nodig hê:

• Bevoegde hulpbron (soos 'n hoofimplementeerder) – met die kennis van die standaard – kan die ISMS.aanlyn-platform baie van die vereiste bevoegdheid verskaf deur sy voorafgeboude inhoud en gereedskap.
• Kapasiteit van ander hulpbronne – soos onderwerpverteenwoordigers van IT-, Regs-, Fasiliteite-, Seniorbestuur- en besigheidsdepartemente.

Dit is 'n noodsaaklike deel van jou ISMS-implementeringsbeplanning dat jy die bevoegdheid, kapasiteit, vertroue en dissiplinevereistes van jou hulpbronne in ag neem as jy suksesvolle, doeltreffende en effektiewe implementering binne 'n redelike tydraamwerk wil bereik.

As ons aanvaar dat ons sertifisering kry, watter hulpbronne sal ons benodig vir instandhouding?

'n Gesertifiseerde ISMS is 'n voortdurende reis, nie 'n bestemming nie. As sodanig sal dit 'n sekere hulpbronvlak vereis om dit in stand te hou. Hoe meer 'n ISMS by die organisasie se daaglikse prosesse geïntegreer is, en hoe meer gefedereerd die verantwoordelikheid is, hoe minder bokoste sal dit wees.

Behalwe vir die geïntegreerde beheeraspekte van die ISBS, sal jy moet verseker dat die kritieke prosesse van die ISMS bedryf word:

• Risiko bestuur – gereelde hersiening van risiko's om te verseker dat behandelings voldoende en proporsioneel bly.
• Interne Oudit – die deurlopende werking van 'n interne ouditprogram wat die hele standaard dek, ten minste, binne die sertifiseringstydperk (3 jaar vir 'n UKAS-geakkrediteerde sertifisering), en meer gereeld oudit die areas van noodsaaklike bedryf of risiko.

• Bestuur hersiening – 'n topvlakbestuursoorsig van die ISBS op ten minste 'n jaarlikse basis om die doeltreffendheid en doeltreffendheid van die ISBS te verseker in die bereiking van die besigheidsgeleide doelwitte wat vir inligtingsekuriteit gestel is.
• Korrektiewe aksie en voortdurende verbetering – prosesse om te verseker dat die ISMS voortdurend verbeter met verloop van tyd en nie-konformiteite reggestel word binne 'n redelike tydraamwerk.

Wat sal ons moet doen wanneer die standaard opgedateer word?

Dit sal afhang van die aard van die opdatering. Alle ISO-bestuurstelselstandaarde word gereeld bekyk en bygewerk.

As daar gevind word dat die standaard grootliks toepaslik is, kan dit wees dat slegs geringe opdaterings aan die bewoording gemaak word.

Soms word die standaard egter om een ​​of ander rede herwerk. Dit lei tot 'n groot opdatering wat 'n "oorgang" oudit van een weergawe van die standaard na die nuwe een kan vereis.

Die laaste keer dat 'n groot herstrukturering van ISO 27001 plaasgevind het, was in 2013 (die verandering van die 2005-weergawe na die 2013-weergawe). Aangesien dit 'n groot opknapping was, was daar 'n oorgangstydperk van 2 jaar aan organisasies toegestaan.

Omdat so 'n verandering groot hoeveelhede werk en koste vir baie organisasies kan skep, probeer ISO waar moontlik sulke beduidende veranderinge vermy.

Wat ook al die opdaterings is, jou sertifiseringsliggaam moet jou laat weet wat jy moet doen.

Wees verseker, ons sal die ISMS.online platform opdateer om die standaard se huidige weergawe te weerspieël wanneer dit ook al gebeur.

Wat as my besigheid die produkte/dienste wat ons aanbied verander?

Afhangende van hoe beduidend die veranderinge is, kan u 'n buitengewone oudit deur die sertifiseringsliggaam vereis om te verseker dat u sertifisering die nuwe produkte en dienste dek. binne die ISMS-omvang.

Dit is egter algemeen dat die sertifiseringsliggaam hierdie oudit sal kombineer met 'n periodieke toesigoudit of by jou volgende hersertifiseringsoudit.

Dit is belangrik om daarop te let dat jou nuwe produkte of dienste dalk nie deur jou bestaande sertifisering gedek word totdat bevestiging van die sertifiseringsliggaam gegee is nie.

Wat as ons 'n nuwe kantoor in 'n vreemde land oopmaak?

Soos met veranderinge aan produkte/dienste hierbo, sal jy waarskynlik 'n mate van bykomende oudit van jou sertifiseringsliggaam vereis om te verifieer dat jou bedrywighede in die nuwe land binne die bestek van die sertifisering gedek word.

Een deurslaggewende faktor om te oorweeg vir die uitbreiding van jou ISO 27001 om bedrywighede in nuwe lande in te sluit, is dat daar byna seker verskillende inligtingsekuriteitswetgewing en -regulasies om te oorweeg.

Watter departement moet die ISMS 'besit'?

Daar is geen regte of verkeerde antwoord op hierdie vraag nie, en dit sal geheel en al afhang van die struktuur van jou organisasie en sy kultuur. Daar is egter 'n paar sleutelpunte om te oorweeg:

• ISO 27001 is 'n besigheidsbestuurstelselstandaard - dus kan dit die beste wees om eienaarskap in 'n kruisbesigheidsafdeling soos Risiko of Voldoening te plaas.
• Eienaarskap kan binne IT geplaas word. Dit kan egter dikwels daartoe lei dat inligtingsekuriteit 'n slegs IT-kwessie word en kan die standaard se sake-geleide aspekte mis.
• Die ISMS kan binne 'n "Inligtingsekuriteit" spesifieke departement geplaas word, maar dit kan daartoe lei dat die aktiwiteit "gesilo" word, swak interaksie met die breër besigheid is of gesien word as 'n "polisiëring" struktuur wat vinnig gesien word as 'n blokker eerder as 'n instaatsteller.

Een goeie manier wat vir baie organisasies kan werk, is om die eienaarskap op die organisasie se topvlak te wees. Die ISMS-operasie kan oor die organisasie heen gefedereer word, maar gekoördineer word deur 'n hoofhulpbron, soos 'n CISO of inligtingsekuriteitsbestuurder.

Hoe kan ISMS.online my help om ISO 27001 vinniger te implementeer?

Deur ISO 27001 en die benadering tot die implementering van 'n ISMS te de-mistifiseer, kan die ISMS.online platform jou implementering versnel deur jou pogings op die regte plek op die regte tyd te fokus.

Verder, deur 'n alles-in-een-plek ISMS-oplossing te verskaf, kan aansienlike tyd bespaar word deur nie te hoef rond te soek vir veelvuldige nutsmiddels, komplekse dokumentasiebewaarplekke op te stel en nuwe prosesse te implementeer nie - dit is reg dan in die kassie vanaf Dag 1.

Die ISMS.aanlyn-platform kan help om aansienlik te verminder tot die tyd wat nodig is om 'n ISMS te implementeer deur jou van alles te voorsien wat jy nodig het om ISO 27001-sertifisering eerste keer behaal.

Hoe maak ISMS.online die implementering van ISO 27001 makliker?

Die ISMS.online platform de-mystifiseer ISO 27001 en implementeer en bedryf 'n ISO 27001 voldoen en gesertifiseerde ISMS. Met hierdie en gekontekstualiseerde inligting op die regte plek, sal die ISMS.aanlyn-platform jou help om ons voorbeeldinhoud maklik aan te neem, aan te pas of by te voeg, en jou reis na sertifisering baie makliker maak.