5 beste tips for å oppnå ISO 27001-sertifisering

Følg veien som er lagt ut av Sam Peters, vår sjef for produkter og tjenester, for en enkel reise til sertifiseringssuksess.

Start alltid med en plan

ISO 27001-sertifiseringsprosessen kan være ganske kompleks og utfordrende. Du må holde mange tallerkener i sving. Så før du starter trenger du en implementeringsplan som tar deg gjennom det hele. Still deg selv spørsmål som: Hvordan implementerer vi ISO 27001? Hva må vi tenke på på hvert trinn av revisjonsprosess? Hvordan vil arbeidsmengden vår være og når ønsker vi å oppnå dette innen? Du bør ha en god ide om hva du ønsker og trenger oppnå før, under og til og med etter sertifisering.

Behandle det som en forretningsforbedringsøvelse

Det er mye å ta tak i ISO 27001. Å se det som en forretningsforbedringsøvelse, i stedet for bare å krysse av i mange bokser, vil hjelpe deg å ta alt innover deg og engasjere deg i det. Det kan hjelpe deg med å lage forretningsprosesser og tilnærminger på mer strukturerte, gjennomtenkte måter. Vi har sett enorme forbedringer i vår egen virksomhet ved å gjøre det. Du vil ikke få så mye ut av det hvis tilnærmingen din er: 'Jeg gjør dette bare for å møte disse krav av standardene'.

Ta med organisasjonen din

Alle må forstå og følge din infosec retningslinjer og kontroller. Organisasjonens folk vil være dens største sikkerhetsstyrke. Men bare hvis du utstyrer dem med alt de trenger å være kompetent og dyktig. Og du trenger lederskap, det er en sentral del av standarden. Faktisk er det en revidert del av standarden.

Så retningslinjene og kontrollene dine kan ikke være for tekniske. De må fortelle folk uten anelse om de tekniske tingene hva de må gjøre og hvorfor det er så viktig. Og seniorlederne dine må engasjere seg i det hele og signere det hele. Jo lettere du gjør det å følge, jo mer sannsynlig er det at du overholder det, både internt og med sertifiseringsprosessen.

Del riktig informasjon med de rette personene

Først ba vi alle ansatte om å lese gjennom hver enkelt policy og kontroll. Det er mye lesing! Og så ber du dem finne ut hva som betyr noe for dem. Så over tid har vi finpusset det. Vi ber bare folk om å lese retningslinjene og kontrollene som er relevante for rollene deres. Så du ber bare folk om å ta inn det som er relevant for dem, det de faktisk trenger å vite og handle på. Jeg tror det er ganske sentralt. Å, og selvfølgelig kan de fortsatt lese resten av den hvis de vil.

Husk at alt handler om risiko

ISO 27001 er en risikobasert standard. Det er lett å miste av syne når du er dypt inne i sertifiseringen. Så alt du gjør bør redusere en risiko organisasjonen din står overfor. Noen ganger kan du få det omvendt, du ender opp med å tenke: "Jeg må implementere denne kontrollen fordi det er det standarden sier". Men standarden sier det bare på grunn av en reell risiko. Du krysser ikke av for imaginære bokser, du beskytter faktisk organisasjonen din. Så noen ganger vil det å starte med risikoene og jobbe tilbake fra dem hjelpe deg med å tenke på det hele på en mer konstruktiv måte.

 

Sam Peters fra ISMS.online

Sam Peters – Leder for produkter og tjenester

En av de lengst tjente medlemmene av ISMS.online team, Sam har nesten tjue års erfaring med å bringe SaaS-løsninger til markedet. Før spesialisering i informasjonssikkerhet, Sam hadde digitale roller i både offentlig og privat sektor, og jobbet innen finans, utdanning og rettshåndhevelse. I den lille fritiden han har, liker Sam å sykle og tilbringe tid med sin unge familie.

« Topptips for din første ISO 27001 trinn 2-revisjon

Hvordan opprettholde din ISO 27001-sertifisering »

Sist redigert: 7. februar 2022
Forfatter

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Se alle innlegg av Sam Peters

Relaterte innlegg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer