Het jy hulp nodig met ISO 27001? Gesels vandag met een van ons span.
Soos met enige nuwe onderneming of projek, is dit van kardinale belang om te verstaan by wie betrokke sal moet wees ISO 27001. Dit sodat die regte vlakke van hulpbronne in terme van bevoegdheid en kapasiteit kan bepaal en geïdentifiseer word.
Aangesien ISO 27001 bedoel is om 'n besigheidsbestuurstelselstandaard te wees, vereis dit die betrokkenheid van senior bestuur, bestuur regoor die organisasie, en vakkundigheid van sleutelareas van die organisasie.
Tradisioneel sal 'n organisasie dalk 'n ISO 27001-spesialiskonsultant moet inbring of 'n personeellid op 'n lei implementeerder kursus om die aanvanklike bevoegdheidsgaping te vul. ISMS.online kan help om hierdie bevoegdheidsgaping te vul sonder dat duur konsultante of opleiding nodig is.
ISO/IEC 27001:2013 – om die huidige internasionale weergawe sy volle verwysing te gee – wat algemeen na verwys word as ISO 27001, is die internasionaal erkende standaardspesifikasie vir 'n Inligtingsekuriteitbestuurstelsel (ISMS).
ISO 27001 is deel van 'n familie van standaarde in die ISO 27k-reeks, wat 'n wye verskeidenheid inligting en kuberveiligheidsonderwerpe en nakomingsleiding dek.
Die ISO 27k-familie is self deel van 'n breër familie van bestuurstelselstandaarde gebaseer op die ISO/IEC-riglyne Deel 1 (11de Uitgawe 2020) Bylae SL, wat 'n gemeenskaplike Bestuurstelsel-raamwerk definieer.
Dit is ontwerp om 'n risiko-gefokusde besigheidsbestuurstelsel moontlik te maak wat die beskerming van inligtingsbates in enige vorm – bv binne IT-stelsels, op hardekopie of digitale media, en selfs binne mense se koppe. Dit is nie bedoel om as 'n tegniese sekuriteitstandaard gebruik te word nie.
Die standaard bevat:
Kom meer te wete oor die kernvereistes van die ISO 27001 en die Bylae A-kontroles wat u kan kies om te implementeer na hierdie skakel.
Alle organisasies skep, bestuur en versprei inligting, en alle inligting het 'n waarde. Die implementering van 'n internasionaal erkende inligtingsekuriteitbestuurstelsel sal help om die waarde te beskerm en aansienlike besigheidsvoordeel en opbrengs op belegging te gee.
Sulke voordele kan insluit:
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Terwyl ISO 27001 nie vereiste rolle spesifiseer nie; verskeie fundamentele verantwoordelikhede sal toegewys moet word om te verseker dat die ISMS in lyn is met jou organisasie se kultuur en aard en sy sakebedrywighede en inligtingsrisiko's suksesvol tot 'n aanvaarbare vlak bestuur.
Die term "belanghebbendes" beteken verskillende dinge vir verskillende mense, en dikwels sal jy hoor van primêre, sekondêre en selfs tersiêre belanghebbendes, direkte en indirekte belanghebbendes. Die ISO-bestuurstelselstandaarde praat nie van belanghebbendes nie, maar eerder van “belanghebbende partye”, maar dit beteken nie dat jy nie interne belanghebbendes vir die ISMS sal hê nie.
Aangesien ISO 27001 eerstens 'n besigheidsbestuurstelselstandaard is, moet jou primêre belanghebbendes op die mees senior bestuursvlak sit – dit gaan tog oor die beskerming van jou besigheid!
U, primêre belanghebbendes, sal waarskynlik die volgende insluit:
Sekondêre belanghebbendes sal diegene wees wat verantwoordelik sal wees vir 'n deel van die ISMS. Dit sal onderwerpverteenwoordigers van regoor die organisasie en moontlik sy vennote en selfs verskaffers insluit.
Die lys van sekondêre belanghebbendes sal bepaal word deur die grootte en aard van jou organisasie, maar kan die volgende insluit:
Die "Lead Implementer"-rol is die individu wat verantwoordelik is vir toesig oor die ISMS-implementering en moet as sodanig iemand wees met die kennis en bevoegdheid wat vir die taak vereis word.
Hulle sal die ISO 27001-standaard en gepaardgaande leidingstandaarde van dieselfde familie moet verstaan. Hulle sal ook die sleutelprosesse moet ken vir implementering, bedryf, monitering en die ISMS te verbeter om te verseker dat die ISMS doeltreffend en effektief is.
Tradisioneel word dit óf "aangekoop" in die vorm van 'n spesialiskonsultant óf "ingebou" deur een of meer bestaande personeellede op 'n ISO 27001 lei-implementeerder opleidingskursus te stuur. Albei hierdie is gewoonlik duur opsies.
Die ISMS.aanlyn platform verskaf verskeie hulpmiddels wat help om die kennis- en bevoegdheidsgaping te vul wat help om die behoefte aan sulke uitgawes te verminder of uit te skakel. Dit sluit in:
Vind uit hoe ons meer oor hoe ISMS.onlines vereenvoudigde, veilige en volhoubare platform vir jou behoeftes kan pas na hierdie skakel.
Ons het gevoel soos ons het
die beste van twee wêrelde. Ons was
ons kan gebruik
bestaande prosesse,
& die Aanneem, Pas aan
inhoud het ons nuut gegee
diepte aan ons ISMS.
"Alles begin bo" - ISO 27001 is eerstens 'n besigheidsbestuurstelsel wat ontwerp is om die beskerming van 'n organisasie se inligtingsbates te bestuur en inligtingsrisiko's tot 'n aanvaarbare vlak te verminder.
Sonder ondersteuning van topvlakbestuur is dit onwaarskynlik dat die implementering en werking van die ISMS suksesvol, doeltreffend of effektief sal wees.
ISO 27001 definieer sommige fundamentele klousules wat die verantwoordelikheid van senior bestuur is, Insluitend:
Fundamenteel tot die suksesvolle implementering en werking van die ISBS sal die inligtingsekuriteit en bestuurspersoneel wees wat met die ISBS se algehele bestuur en sy komponente getaak is.
Dit is gewoonlik personeel wie se primêre rol gefokus is op inligtingsekuriteit en bestuur. As jou organisasie egter klein is, is dit waarskynlik een persoon wat ook 'n ander dagtaak het.
Die ISMS.aanlyn-platform kan help om die kennis, bevoegdheid en vertroue te verskaf waar hulpbronne op kundige vlak nie beskikbaar is nie en verseker dat die ISMS nie 'n lastige bokoste word nie.
Aangesien baie inligting op of deur IT-stelsels, netwerke en toepassings gestoor, verwerk en versend word, sal daar 'n behoefte wees om te verseker dat toepaslike interaksie met IT-departemente en/of verskaffers in 'n vroeë stadium in die ISBS ingebou word.
Baie van die kontroles wat geïmplementeer sal word om jou inligtingbates te beskerm, sal tegniese kontroles wees wat ontwerp, ontwikkel, geïmplementeer en bedryf word deur jou IT-afdeling of verskaffers.
Die bestuur van die verwagtinge en verdeling van verantwoordelikhede vir die tegniese aspekte van inligting en kuberveiligheid sal krities wees vir die ISMS se sukses.
ISO 27001, soos met al die ISO-bestuurstelselstandaarde, vereis dat 'n organisasie 'n program van interne oudits moet hê om die effektiewe werking van die ISMS en sy vermoë om inligtingsrisiko's tot 'n aanvaarbare vlak te verminder, te verifieer.
Op 'n minimum moet die ISMS-bestuursklousules (4-10) jaarliks geoudit word, en Bylae A-kontroles geoudit word binne die sertifiseringstydperk (3 jaar vir UKAS-geakkrediteerde sertifiserings).
Die keuse van interne ouditeure moet objektiwiteit verseker – dit wil sê jy kan nie jou eie werk oudit nie – en bevoegdheid – die ouditeur moet die kennis en bevoegdheid hê om die oudit uit te voer.
Ons Virtual Coach-diens is voorafgebou met alles wat u moet weet oor interne oudits of lees ons vereenvoudigde gids tot ISO 27001:2013 Interne Oudits met leiding en idees oor hoe jy jou doelwit kan bereik.
Die Data Protection Beampte is tipies verantwoordelik om die toepaslike bestuur, gebruik en beskerming van persoonlik identifiseerbare inligting (PII) binne die organisasie te verseker. Sulke inligting sal verband hou met 'n organisasie se personeel, en dikwels met dié van sy kliënte.
Hierdie verantwoordelikheid sluit duidelik in om te verseker dat voldoende inligting en kuberveiligheidskontroles en -prosesse in plek is om hierdie tipe inligting te beskerm.
Die rol van die Databeskermingsbeampte word nie gespesifiseer of gemandatiseer binne ISO 27001 nie, maar ander relevante wetgewing en regulasies soos die Britse Databeskermingswet (2018) en die Algemene databeskermingsregulasie (GDPR) vereis wel 'n rol van hierdie aard. Daarbenewens impliseer voldoening en ander kontroles binne ISO 27001 die behoefte aan so 'n rol.
Laai jou gratis gids vir vinnige en volhoubare sertifisering af
Ons benodig net 'n paar besonderhede sodat ons vir jou jou gids kan e-pos om die eerste keer ISO 27001 te bereik
Laai jou gratis gids nou af en as jy hoegenaamd enige vrae het, dan Bespreek 'n demo or Kontak Ons. Ons help graag.
As jy op soek is na erkende en gerespekteerde bereik sertifisering vir jou ISMS – nodig om die maksimum voordeel daaruit te trek – jy sal 'n ISO 27001-geakkrediteerde sertifiseringsliggaam moet inskakel om die vereiste oudits vir sertifisering uit te voer.
Die sertifiseringsliggame voorsien ouditeure van die vaardighede, kennis en bevoegdheid om die sertifiseringsoudits uit te voer en te verseker dat sertifisering op 'n konsekwente vlak geakkrediteer is.
Sulke organisasies word gewoonlik op die webwerf van die territoriale akkreditasie-liggaam gelys. In die VK is die akkreditasie-liggaam die Verenigde Koninkryk Akkreditasiediens (UKAS), en hulle hou toesig oor die geakkrediteerde sertifiseringsliggame in die VK.
Soos met enige beduidende projek, sal die tyd wat dit neem afhang van wat gedoen moet word en die kapasiteit en bevoegdheid van die hulpbronne wat beskikbaar gestel word om dit te doen.
Vir ISO 27001 is die "wat gedoen moet word" goed omskryf binne die standaard, en die hulpbronne wat beskikbaar gestel word, sal deur jou organisasie bepaal word.
Tipies, vir 'n klein tot mediumgrootte organisasie met 'n paar voorafbestaande beleide en kontroles, kan die bou van 'n ISMS enige plek van 6 maande tot 'n jaar neem (afhangend van hulpbronvlakke). Soms is dit selfs langer as beskikbare hulpbronne hul tyd oor ander poste moet verdeel. 'n 150-dae (voltydse ekwivalent) projek is redelik algemeen.
Die ISMS.aanlyn platform kan help om jou hulpbronvlakke aansienlik te verminder. Afhangende van hoeveel van die uitvoerbare inhoud jy kan aanneem of maklik aanpas, kan die bou van jou ISMS met soveel as 75% of 80% verminder word. Sommige kliënte kan van 'n staande begin tot gereed wees om die sertifiseringsouditproses binne 6 weke te begin.
Sodra jou ISMS gebou is, vind die sertifiseringsouditproses in twee fases plaas met 'n verloop van tydsbestek van 2 maande wat alledaags is. Tipies is die twee-fase proses:
Baie faktore sal jou keuse van sertifiseringsliggaam beïnvloed.
Die belangrikste hiervan sal wees om te verseker dat die sertifiseringsliggaam geakkrediteer is. Dit is moontlik om nie-geakkrediteerde sertifisering te verwerf. Dit sal egter beperkte integriteit en waarde hê. Ons beveel sterk aan dat jy nie hierdie roete afgaan nie.
As jy reeds ander sertifikate het, soos:
Jy sal waarskynlik eers jou bestaande sertifiseringsliggaam nader om te sien of hulle ook vir ISO 27001 geakkrediteer is.
*let wel – as jy reeds sertifisering het vir ander bestuurstelselstandaarde, kan jy baat by die integrasie daarvan in 'n enkele "Geïntegreerde bestuurstelsel" – en die ISMS.online platform kan help om dit te bereik.
Laai jou gratis gids af
om jou Infosec te stroomlyn
Ons het verskeie rolle hierbo geïdentifiseer wat betrokke sal wees by die implementering van jou ISMS, maar in wese sal jy nodig hê:
Dit is 'n noodsaaklike deel van jou ISMS-implementeringsbeplanning dat jy die bevoegdheid, kapasiteit, vertroue en dissiplinevereistes van jou hulpbronne in ag neem as jy suksesvolle, doeltreffende en effektiewe implementering binne 'n redelike tydraamwerk wil bereik.
'n Gesertifiseerde ISMS is 'n voortdurende reis, nie 'n bestemming nie. As sodanig sal dit 'n sekere hulpbronvlak vereis om dit in stand te hou. Hoe meer 'n ISMS by die organisasie se daaglikse prosesse geïntegreer is, en hoe meer gefedereerd die verantwoordelikheid is, hoe minder bokoste sal dit wees.
Behalwe vir die geïntegreerde beheeraspekte van die ISBS, sal jy moet verseker dat die kritieke prosesse van die ISMS bedryf word:
Dit sal afhang van die aard van die opdatering. Alle ISO-bestuurstelselstandaarde word gereeld bekyk en bygewerk.
As daar gevind word dat die standaard grootliks toepaslik is, kan dit wees dat slegs geringe opdaterings aan die bewoording gemaak word.
Soms word die standaard egter om een of ander rede herwerk. Dit lei tot 'n groot opdatering wat 'n "oorgang" oudit van een weergawe van die standaard na die nuwe een kan vereis.
Die laaste keer dat 'n groot herstrukturering van ISO 27001 plaasgevind het, was in 2013 (die verandering van die 2005-weergawe na die 2013-weergawe). Aangesien dit 'n groot opknapping was, was daar 'n oorgangstydperk van 2 jaar aan organisasies toegestaan.
Omdat so 'n verandering groot hoeveelhede werk en koste vir baie organisasies kan skep, probeer ISO waar moontlik sulke beduidende veranderinge vermy.
Wat ook al die opdaterings is, jou sertifiseringsliggaam moet jou laat weet wat jy moet doen.
Wees verseker, ons sal die ISMS.online platform opdateer om die standaard se huidige weergawe te weerspieël wanneer dit ook al gebeur.
Afhangende van hoe beduidend die veranderinge is, kan u 'n buitengewone oudit deur die sertifiseringsliggaam vereis om te verseker dat u sertifisering die nuwe produkte en dienste dek. binne die ISMS-omvang.
Dit is egter algemeen dat die sertifiseringsliggaam hierdie oudit sal kombineer met 'n periodieke toesigoudit of by jou volgende hersertifiseringsoudit.
Dit is belangrik om daarop te let dat jou nuwe produkte of dienste dalk nie deur jou bestaande sertifisering gedek word totdat bevestiging van die sertifiseringsliggaam gegee is nie.
Soos met veranderinge aan produkte/dienste hierbo, sal jy waarskynlik 'n mate van bykomende oudit van jou sertifiseringsliggaam vereis om te verifieer dat jou bedrywighede in die nuwe land binne die bestek van die sertifisering gedek word.
Een deurslaggewende faktor om te oorweeg vir die uitbreiding van jou ISO 27001 om bedrywighede in nuwe lande in te sluit, is dat daar byna seker verskillende inligtingsekuriteitswetgewing en -regulasies om te oorweeg.
Daar is geen regte of verkeerde antwoord op hierdie vraag nie, en dit sal geheel en al afhang van die struktuur van jou organisasie en sy kultuur. Daar is egter 'n paar sleutelpunte om te oorweeg:
Een goeie manier wat vir baie organisasies kan werk, is om die eienaarskap op die organisasie se topvlak te wees. Die ISMS-operasie kan oor die organisasie heen gefedereer word, maar gekoördineer word deur 'n hoofhulpbron, soos 'n CISO of inligtingsekuriteitsbestuurder.
Deur ISO 27001 en die benadering tot die implementering van 'n ISMS te de-mistifiseer, kan die ISMS.online platform jou implementering versnel deur jou pogings op die regte plek op die regte tyd te fokus.
Verder, deur 'n alles-in-een-plek ISMS-oplossing te verskaf, kan aansienlike tyd bespaar word deur nie te hoef rond te soek vir veelvuldige nutsmiddels, komplekse dokumentasiebewaarplekke op te stel en nuwe prosesse te implementeer nie - dit is reg dan in die kassie vanaf Dag 1.
Die ISMS.aanlyn-platform kan help om aansienlik te verminder tot die tyd wat nodig is om 'n ISMS te implementeer deur jou van alles te voorsien wat jy nodig het om ISO 27001-sertifisering eerste keer behaal.
Bespreek 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.
Die ISMS.online platform de-mystifiseer ISO 27001 en implementeer en bedryf 'n ISO 27001 voldoen en gesertifiseerde ISMS. Met hierdie en gekontekstualiseerde inligting op die regte plek, sal die ISMS.aanlyn-platform jou help om ons voorbeeldinhoud maklik aan te neem, aan te pas of by te voeg, en jou reis na sertifisering baie makliker maak.
Ons het begin met sigblaaie en dit was 'n nagmerrie. Met die ISMS.online oplossing is al die harde werk maklik gemaak.
Werk maklik saam, skep en wys dat jy te alle tye op hoogte is van jou dokumentasie
Vind meer uitPak bedreigings en geleenthede moeiteloos aan en rapporteer dinamies oor prestasie
Vind meer uitNeem beter besluite en wys jy is in beheer met dashboards, KPI's en verwante verslagdoening
Vind meer uitMaak ligte werk van regstellende aksies, verbeterings, oudits en bestuursoorsigte
Vind meer uitSkyn 'n lig op kritieke verhoudings en skakel areas soos bates, risiko's, beheermaatreëls en verskaffers elegant aan
Vind meer uitUit die boks integrasies met jou ander sleutelbesigheidstelsels om jou nakoming te vereenvoudig
Vind meer uitVoeg netjies ander areas van voldoening by wat jou organisasie raak om selfs meer te bereik
Vind meer uitBetrek personeel, verskaffers en ander te alle tye met dinamiese nakoming van einde tot einde
Vind meer uitBestuur omsigtigheidsondersoek, kontrakte, kontakte en verhoudings oor hul lewensiklus
Vind meer uitKarteer en bestuur belangstellende partye visueel om te verseker dat hul behoeftes duidelik aangespreek word
Vind meer uitSterk privaatheid deur ontwerp en sekuriteitskontroles om by jou behoeftes en verwagtinge te pas
Vind meer uit