En integrert tilnærming: Hvordan ISMS.online oppnådde ISO 27001 og ISO 27701 resertifisering

Av Christie Rae • 4 desember 2024

I oktober 2024 oppnådde vi resertifisering til ISO 27001, informasjonssikkerhetsstandarden, og ISO 27701, personvernstandarden. Med vår vellykkede resertifisering går ISMS.online inn i sin femte treårige sertifiseringssyklus – vi har holdt ISO 27001 i over et tiår! Vi er glade for å dele at vi oppnådde begge sertifiseringer med null avvik og mye læring.

Hvordan sikret vi at vi effektivt administrerte og fortsatte å forbedre personvernet og informasjonssikkerheten vår? Vi brukte vår integrerte samsvarsløsning – Single Point of Truth, eller SPoT, for å bygge vårt integrerte styringssystem (IMS). Vår IMS kombinerer styringssystemet for informasjonssikkerhet (ISMS) og styringssystemet for personverninformasjon (PIMS) til én sømløs løsning.

I denne bloggen deler teamet vårt sine tanker om prosessen og erfaringen, og forklarer hvordan vi nærmet oss ISO 27001- og ISO 27701-resertifiseringsrevisjonene.

Hva er ISO 27701?

ISO 27701 er en personvernutvidelse til ISO 27001. Standarden gir retningslinjer og krav for implementering og vedlikehold av et PIMS innenfor et eksisterende ISMS-rammeverk.

Hvorfor bør organisasjoner se etter å implementere ISO 27701?

Organisasjoner er ansvarlige for å lagre og håndtere mer sensitiv informasjon enn noen gang før. Et så høyt – og økende – volum av data er et lukrativt mål for trusselaktører og utgjør en sentral bekymring for forbrukere og bedrifter for å sikre at de holdes trygge.

Med veksten av globale reguleringer, som GDPR, CCPA og HIPAA, har organisasjoner et økende juridisk ansvar for å beskytte kundenes data. Globalt beveger vi oss stadig mot et samsvarslandskap der informasjonssikkerhet ikke lenger kan eksistere uten datavern.

Fordelene ved å ta i bruk ISO 27701 strekker seg utover å hjelpe organisasjoner med å oppfylle regulatoriske og samsvarskrav. Disse inkluderer å demonstrere ansvarlighet og åpenhet overfor interessenter, forbedre kundenes tillit og lojalitet, redusere risikoen for brudd på personvernet og tilknyttede kostnader, og frigjøre et konkurransefortrinn.

Vår ISO 27001 og ISO 27701 resertifiseringsrevisjonsforberedelse

Siden denne ISO 27701-revisjonen var en resertifisering, visste vi at den sannsynligvis ville være mer dyptgående og ha et større omfang enn en årlig overvåkingsrevisjon. Det var planlagt å vare i 9 dager totalt. Siden vår forrige revisjon har ISMS.online også flyttet hovedkvarteret, fått et annet kontor og hatt flere personalendringer. Vi var forberedt på å ta opp eventuelle avvik forårsaket av disse endringene, dersom revisor skulle finne noen.

IMS anmeldelse

Før revisjonen vår gjennomgikk vi våre retningslinjer og kontroller for å sikre at de fortsatt gjenspeiler vår tilnærming til informasjonssikkerhet og personvern. Med tanke på de store endringene i virksomheten vår de siste 12 månedene, var det nødvendig å sikre at vi kunne demonstrere kontinuerlig overvåking og forbedring av vår tilnærming.

Dette inkluderte å sikre at internrevisjonsprogrammet vårt var oppdatert og komplett, vi kunne dokumentere resultatene av ISMS Management-møtene våre, og at KPIene våre var oppdatert for å vise at vi målte informasjons- og personvernytelsen vår.

Risikostyring og gapanalyse

Risikostyring og gapanalyse bør være en del av den kontinuerlige forbedringsprosessen når man opprettholder samsvar med både ISO 27001 og ISO 27701. Daglig forretningspress kan imidlertid gjøre dette vanskelig. Vi brukte våre egne prosjektstyringsverktøy for ISMS.online-plattformen for å planlegge regelmessige gjennomganger av de kritiske elementene i ISMS, som risikoanalyse, internrevisjonsprogram, KPIer, leverandørvurderinger og korrigerende handlinger.

Ved å bruke vår ISMS.online-plattform

All informasjon knyttet til våre retningslinjer og kontroller lagres i vår ISMS.online-plattform, som er tilgjengelig for hele teamet. Denne plattformen gjør det mulig å gjennomgå og godkjenne samarbeidsoppdateringer, og gir også automatisk versjonering og en historisk tidslinje for eventuelle endringer.

Plattformen planlegger også automatisk viktige gjennomgangsoppgaver, for eksempel risikovurderinger og vurderinger, og lar brukere lage handlinger for å sikre at oppgaver fullføres innen de nødvendige tidsskalaene. Tilpassbare rammer gir en konsistent tilnærming til prosesser som leverandørvurderinger og rekruttering, og beskriver viktige infosec- og personvernoppgaver som må utføres for disse aktivitetene.

Hva du kan forvente under en ISO 27001- og ISO 27701-revisjon

Under revisjonen vil revisor gjennomgå noen nøkkelområder i IMS-en din, for eksempel:

Organisasjonens retningslinjer, prosedyrer og prosesser for håndtering av personopplysninger eller informasjonssikkerhet
Evaluer informasjonssikkerheten og personvernrisikoen din og passende kontroller for å avgjøre om kontrollene dine effektivt reduserer de identifiserte risikoene.
Vurder dinhendelsesadministrasjon. Er din evne til å oppdage, rapportere, undersøke og reagere på hendelser tilstrekkelig?
Undersøk din tredjepartsledelse for å sikre at tilstrekkelige kontroller er på plass for å håndtere tredjepartsrisikoer.
Sjekk treningsprogrammene dine, og utdann personalet ditt i personvern- og informasjonssikkerhetsspørsmål.
Se gjennom organisasjonens ytelsesberegninger for å bekrefte at de oppfyller dine skisserte personvern- og informasjonssikkerhetsmål.

Den eksterne revisjonsprosessen

Før revisjonen starter, vil den eksterne revisoren gi en tidsplan som beskriver omfanget de ønsker å dekke og om de ønsker å snakke med spesifikke avdelinger eller personell eller besøke bestemte lokasjoner.

Første dag starter med åpningsmøte. Medlemmer av ledergruppen, i vårt tilfelle, administrerende direktør og CPO, er til stede for å tilfredsstille revisoren at de administrerer, støtter aktivt og er engasjert i informasjonssikkerhets- og personvernprogrammet for hele organisasjonen. Dette fokuserer på en gjennomgang av ISO 27001 og ISO 27701 styringsklausulens retningslinjer og kontroller.

For vår siste revisjon, etter at åpningsmøtet ble avsluttet, tok vår IMS-sjef direkte kontakt med revisor for å gjennomgå ISMS- og PIMS-policyer og -kontroller i henhold til tidsplanen. IMS-sjefen forenklet også engasjementet mellom revisor og bredere ISMS.online-team og personell for å diskutere vår tilnærming til de ulike informasjonssikkerhets- og personvernreglene og -kontrollene og skaffe bevis for at vi følger dem i den daglige driften.

Den siste dagen er det et avsluttende møte hvor revisor formelt presenterer sine funn fra tilsynet og gir mulighet til å diskutere og avklare eventuelle relaterte problemstillinger. Vi var glade for å finne at selv om vår revisor kom med noen observasjoner, oppdaget han ikke noen avvik.

Mennesker, prosesser og teknologi: En tredelt tilnærming til en IMS

En del av ISMS.online Etos er at effektiv, bærekraftig informasjonssikkerhet og personvern oppnås gjennom mennesker, prosesser og teknologi. En kun teknologisk tilnærming vil aldri være vellykket.

En kun teknologisk tilnærming fokuserer på å oppfylle standardens minimumskrav i stedet for å effektivt håndtere datavernrisikoer på lang sikt. Imidlertid vil dine ansatte og prosesser, sammen med et robust teknologioppsett, sette deg foran flokken og forbedre informasjonssikkerheten og datasikkerhetseffektiviteten betydelig.

Som en del av vår revisjonsforberedelse, sikret vi for eksempel at våre ansatte og prosesser var på linje ved å bruke ISMS.online policy pack-funksjonen for å distribuere alle policyer og kontroller som er relevante for hver avdeling. Denne funksjonen muliggjør sporing av hver enkelts lesing av retningslinjene og kontrollene, sikrer at enkeltpersoner er klar over informasjonssikkerhet og personvernprosesser som er relevante for deres rolle, og sikrer at registrene overholdes.

En mindre effektiv avkrysningsboks vil ofte:

Involver en overfladisk risikovurdering, som kan overse betydelige risikoer
Ignorer viktige interessenters personvernhensyn.
Levere generisk opplæring som ikke er skreddersydd til organisasjonens spesifikke behov.
Utfør begrenset overvåking og gjennomgang av kontrollene dine, noe som kan resultere i uoppdagede hendelser.

Alle disse åpner organisasjoner for potensielt skadelige brudd, økonomiske straffer og omdømmeskader.

Mike Jennings, ISMS.onlines IMS Manager råder: «Ikke bare bruk standardene som en sjekkliste for å få sertifisering; "lev og pust" dine retningslinjer og kontroller. De vil gjøre organisasjonen din tryggere og hjelpe deg å sove litt lettere om natten!»

ISO 27701 Veikart – Last ned nå

Vi har laget et praktisk veikart på én side, delt inn i fem hovedfokusområder, for å nærme seg og oppnå ISO 27701 i virksomheten din. Last ned PDF-en i dag for en enkel kickstart på reisen din til mer effektivt personvern.

Last ned nå

Lås opp din overholdelsesfordel

Å oppnå resertifisering til ISO 27001 og ISO 27001 var en betydelig prestasjon for oss på ISMS.online, og vi brukte vår egen plattform for å gjøre det raskt, effektivt og med null avvik.

ISMS.online gir et forsprang på 81 %, Assured Results Method, en katalog med dokumentasjon som kan tas i bruk, tilpasses eller legges til, og vår virtuelle coachs alltid-på-støtte. Det er enkelt å sikre at organisasjonen din aktivt sikrer informasjonen og personvernet ditt, forbedrer kontinuerlig sin tilnærming til sikkerhet og overholder standarder som ISO 27001 og ISO 27701.

Oppdag fordelene førstehånds – be om en samtale med en av våre eksperter i dag.

Christie Rae

Christie er en innholdsmarkedsføringsspesialist hos ISMS.online. Med over syv års erfaring har hun som mål å skrive informativt, engasjerende innhold og har jobbet på tvers av en rekke bransjer, inkludert cybersikkerhet, programvare som en tjeneste, teknologi og farmasøytiske produkter.

Les mer fra Christie Rae

Cyber sikkerhet 10 desember 2025

Rapport om informasjonssikkerhetens tilstand 11 viktige statistikker og trender for finansbransjen banner

Rapport om informasjonssikkerhet: 11 viktige statistikker og trender for finansbransjen

IOs tredje årlige rapport om informasjonssikkerhet avslørte de viktigste utfordringene sikkerhetsledere står overfor i 2025, fra AI-drevne angrep til ...

Christie Rae

Cyber sikkerhet 4 desember 2025

IO kåret til G2 Grid®-leder innen styring, risiko og samsvar for vinteren 2025

Vi er glade for å kunne meddele at IO har blitt kåret til en leder i G2 Grid®-rapportene for vinteren 2025. Dette kvartalet oppnådde IO åtte merker i Rep...

Christie Rae

Cyber sikkerhet 28 november 2025

bygge cyberrobusthet hvordan beskytte bedriften din denne Black Friday-banneren

Bygge cyberrobusthet: Slik beskytter du bedriften din denne Black Friday

2025 har vært preget av en rekke høyprofilerte cyberhendelser. Et leverandørbrudd førte til at driften hos detaljhandelsgiganten M&S stoppet opp, med kunder...

Christie Rae