Hvordan 4way Consulting banet vei for ISO 27001-suksess

4way Consulting leverer spesialisert teknologirådgivning og -støtte, og forbedrer sikkerheten, påliteligheten og tilgjengeligheten til transporttjenester i Storbritannia. Virksomheten støtter lokale og sentrale myndigheter i å forvalte transportnettverk gjennom utplassering av teknologi. Teamet på omtrent 45 personer er hovedsakelig basert i Manchester og Birmingham.

4way Consulting-teamet ønsket å implementere ISO 27001 for informasjonssikkerhetsstyring som et supplement til deres eksisterende ISO 9001-sertifisering for kvalitetsstyring.

De vurderte også ISO 45001 for HMS-styring, ettersom bedriften hadde et eksisterende HMS-styringssystem som inneholdt materiale de kunne bygge opp samsvar med. Ettersom bedriften håndterte sensitiv informasjon, var ISO 27001-sertifisering avgjørende for å vise at 4way Consulting anvendte beste praksis for informasjonssikkerhet. De trengte en måte å implementere standarden strategisk og spare både tid og ressurser.

«Vi måtte finne ut av den mest kostnads- og tidseffektive måten å oppnå sertifisering på», sa Ian Pengelly, teknisk direktør for digitalt arbeid hos 4way Consulting. Et alternativ Ian og teamet vurderte var å bygge opp informasjonssikkerhetsstyringssystemet (ISMS) fra bunnen av. Et alternativ var å ta i bruk det SharePoint-baserte systemet som ble brukt av et søsterselskap. Ingen av disse alternativene ga den effektiviteten eller sentraliseringen teamet ønsket å oppnå.

4way Consulting-teamet brukte IO-plattformen til å implementere ISO 27001 og er i ferd med å implementere ISO 45001, samt å migrere sitt eksisterende ISO 9001-ledelsesarbeid til plattformen. 

Teamet brukte 11-trinns Assured Results Method (ARM) for å videreutvikle ISO 27001-samsvaret, samt skreddersy plattformens forhåndsbygde policy- og kontrollmaler.

Bedriften brukte også plattformens risikoregisterfunksjon for å lage et sammendrag på tvers av ISO 27001, ISO 45001 og ISO 9001. De opprettet en ny klynge innenfor IO-plattformen, som koblet denne til standardenes risikoregistre. Dette ga et konsolidert risikoregister som deretter kunne filtreres ned til de høyest scorende risikoene og brukes som et bedriftsrisikoregister, og tillot ledergruppen å vurdere og håndtere disse risikoene oftere.

Den intuitive IO-plattformen støttet også virksomheten i å koble sammen risikoer, eiendeler og kontroller, og ga klarhet i hvordan 4way Consulting håndterte risiko i tråd med standardenes krav.

I tillegg er medarbeiderbevissthet og -engasjement avgjørende for fortsatt samsvar med ISO-standarder; 4way Consulting skreddersydde sin tilnærming til medarbeiderlæring basert på sine retningslinjer og prosedyrer i IO-plattformen.

De delte dokumentasjonen sin med de ansatte, som signerte et bekreftelsesdokument for å bekrefte at de hadde lest og forstått hvert dokument, samtidig som de kunne gi tilbakemelding på områder der de trengte ytterligere avklaringer. Dette gjorde det mulig for dem å logge denne tilbakemeldingen, oppdatere dokumentene og spore versjoner i IO-plattformen, noe som ga ytterligere bevis på ansattes engasjement og støttet sertifiseringen deres.

Bedriften utvikler også sitt læringsplattform (LMS) med interaktivt videoinnhold, som vil muliggjøre ytterligere tilbakemeldinger, spore ansattes engasjement og kan loggføres som bevis på samsvar.

4way Consulting oppnådde ISO 27001-sertifisering på 17 måneder, selv om teamet anslår at dette ville ha tatt rundt 10 måneder med mer tilgjengelige ressurser.

Ian deler at plattformens brukervennlighet førte til en strømlinjeformet revisjonsprosess:

ISO-standarder krever kontinuerlig forbedring, så teamet fokuserer innsatsen på å forbedre samsvar med ISO 27001, gjennomføre regelmessige gjennomganger av risikoer og kontroller, og vurdere virksomhetens risikoregister. IO-teamet fortsetter å støtte 4way Consulting etter hvert som Ian og teamet modner informasjonssikkerhetsstyringssystemet (ISMS) og ser mot de neste stegene: ytterligere ISO-sertifiseringer.

Ian og 4way Consulting-teamet fortsetter å implementere ISO 45001 for helse- og sikkerhetsstyring.

De fortsetter også å migrere sin ISO 9001-kvalitetsstyring til IO-plattformen. Teamet lager også opplæringsvideoer med hjelp fra lærings- og utviklingsteamet for å støtte onboarding-prosessen for ansatte, opprettholde eksisterende bevissthet blant ansatte og sikre at leverandører samsvarer med 4way Consultings krav til informasjonssikkerhet.