ISO 27001-sertifisering, forenklet

ISO 27001-sertifisering

Sertifisering viser en organisasjons forpliktelse til kontinuerlig forbedring, utvikling og beskyttelse av informasjonsressurser/sensitive data ved å implementere passende risikovurderinger, hensiktsmessige retningslinjer og kontroller.

En ISO 27001-sertifisert organisasjon annonserer til verden de er klarert, har implementert et styringssystem for informasjonssikkerhet (ISMS) i tråd med klausul 4.4 i standarden og har vist samsvar med en ekstern revisor/uavhengig ISO-sertifiseringsorgan, f.eks. UKAS.

ISO 27001-sertifisering er en virksomhetsdifferensiator og viser overfor andre virksomheter at de kan stole på at organisasjonen din administrerer verdifull tredjeparts informasjonsressurser/data og intellektuell eiendom; dette skaper et vell av nye muligheter samtidig som det beskytter virksomheten din mot eksponering for risiko.

ISO 27001-standarden er det internasjonalt anerkjente rammeverket for beste praksis for et ISMS

ISO 27001-anerkjennelse er mest verdifull for organisasjoner i Storbritannia når du blir sertifisert av et UKAS (United Kingdom Accreditation Service) akkreditert sertifiseringsorgan som vil uavhengig revidere organisasjonen din og gi deg ISO 27001-sertifisering.

Andre sertifiseringsorganer som kan sammenlignes med UKAS finnes internasjonalt, noe som bidrar til å opprettholde ISO/IEC 27001 Information Security Management-standarden uansett hvor en organisasjon har som mål å oppnå ISO 27001-sertifisering. ISO 27001-sertifisering handler ikke bare om hvilke tekniske tiltak du setter i verk. ISO 27001 handler om å sikre at forretningskontrollene og styringsprosessene du har på plass er tilstrekkelige og forholdsmessige for informasjonssikkerhetstruslene og mulighetene du har identifisert og evaluert i risikovurderingen. Og det bør alt gjøres med en forretningsledet tilnærming til administrasjonsprosessen for informasjonssikkerhet.

ISO 27001-sertifisering vs overholdelse

Organisasjoner som er nye innen styringssystemer for informasjonssikkerhet, spør ofte om forskjellen mellom ISO 27001-sertifisering og samsvar, spesielt når de følger anerkjente standarder som ISO 27001.

Enkelt sagt kan overholdelse bety at organisasjonen følger ISO 27001-standarden (eller deler av den). ISO 27001-sertifisering betyr at organisasjonens ISO 27001 Information Security Management System har blitt sertifisert i samsvar med standarden av revisorer kjent som sertifiseringsorganer.

Hvorfor trenger du ISO 27001-sertifisering?

ISO 27001-sertifisering gjelder for enhver organisasjon som ønsker eller er pålagt å formalisere og forbedre forretningsprosesser rundt informasjonssikkerhet, personvern og sikring av informasjonsmidlene.

Størrelsen/omsetningen til en virksomhet dikterer ikke behovet for ISO 27001 for en organisasjon; selv de minste selskapene kan ha innflytelsesrike kunder eller andre interessenter, for eksempel investorer, som ser etter de iboende forsikringene ved å ha UKAS ISO 27001-sertifiseringstilbud.

Som et resultat av ISO 27001-sertifiseringen kan organisasjonen din demonstrere at dens ansatte, prosesser, verktøy og systemer overholder et anerkjent rammeverk. Se for deg en verden av finansiell rapportering eller helse og sikkerhet uten standarder. Informasjonssikkerhet ligger litt bak disse områdene fra sertifiserings- og uavhengig revisjonsperspektiv. Likevel, med endringstakten som øker for nesten alt, kommer mer innovative organisasjoner videre internt, spesielt med forsyningskjeden. Så du kan se på ISO 27001-sertifisering gjennom to linser;

Tillit til leverandørene dine

Som kunde trenger du tillit til at leverandørene dine er sertifisert for å bidra til å redusere forretningsrisikoen og utnytte muligheter, for eksempel fra mer konsistente, høyere standarder og lavere totalkostnad og risiko for arbeid du møter fra dem.

Bygg tillit til virksomheten din

Kundene dine blir smartere; de liker at du trenger å vite at forsyningskjeden er tilstrekkelig beskyttet. Innflytelsesrike kunder krever ganske enkelt ISO 27001-sertifisering og overfører risikostyringsprosessen nedover forsyningskjeden. Det er også andre spinoff-fordeler, enn si all den ekstra virksomheten du vil vinne fra å bli sertifisert til ISO 27001 kontra etternølere som ikke er det. For eksempel vil godt informert personale ønske å jobbe for pålitelige merkevarer. Ettersom forsikringsselskapene tar igjen bedre arbeidspraksis, bør det også bety lavere premier for organisasjoner med uavhengig sertifisert ISO 27001 Information Management System.

Fordelene med ISO 27001-sertifisering

For alle interessenter er nøkkelmeldingen tillit og sikkerhet oppnådd fra eksternt revidert informasjonssikkerhetsstyring. ISO 27001-sertifisering gir flere fordeler – for eksempel:

Fordeler for deg

• Beskytt IP, merkevare og omdømme
• Vinn flere forretninger fra nye og eksisterende kunder
• Reduser salgskostnadene
• Behold mer virksomhet
• Forbedrede prosesser som fører til kostnads- og tidsbesparelser
• Unngå bøter på grunn av manglende overholdelse av forskrifter (som GDPR)
• Unngå sivile søksmål som følge av datainnbrudd
• Unngå kostnader ved utbedringstiltak som følge av hendelser og/eller brudd
• Tiltrekk deg bedre ansatte

Fordeler for dine ansatte

• Tillit til organisasjonens bærekraft
• Opplæring for jobb (og hjemmesikkerhet)
• Klarhet gjennom retningslinjer og prosedyrer
• Stolthet over organisasjonen og deres rolle i å beskytte den

Fordeler for kundene dine

• Tillit og trygghet i deg og forsyningskjeden din
• Mindre sannsynlighet for et kostbart brudd
• Reduserte kostnader ved leverandørintroduksjon

ISO 27001-sertifisering: Er det verdt det?

Å gjøre ingenting er sannsynligvis ikke et alternativ hvis du får tilgang til og administrerer verdifulle informasjonsressurser som eies av andre. For noen organisasjoner er hele virksomheten bygget på å utvikle eller administrere informasjonsressurser.

Så, i så fall, vil det å tape noe eller hele virksomheten eller ikke vinne mer i fremtiden, sannsynligvis betyr at det er verdt å investere i å bli sertifisert etter ISO 27001, spesielt hvis kunder eller andre interessenter som investorer oppfatter en risiko.

Å oppnå ISO 27001-sertifisering er ikke så komplisert eller dyrt som det pleide å være på grunn av innovative løsninger som ISMS.online. Og til tross for mange av de strategiske og økonomiske fordelene, anser noen ledere det fortsatt som et "grudge"-kjøp og en annen byråkratisk avkrysningsboksøvelse. Å oppnå sertifisering betyr vanligvis en tids- og kostnadsinvestering; som de fleste strategiske investeringer, er det verdt å vurdere avkastningen og bredere fordeler.

Hva er involvert i ISO 27001-implementering?

For å implementere ISO 27001 må du utvikle et "styringssystem", som består av mennesker, prosesser og teknologi.

For menneskers del trenger du lederskap for å veilede implementeringen for å oppfylle forretningsmålene, kulturelle normer, regelmessige gjennomganger og vise at organisasjonen tar det på alvor. Revisorer vil ønske å se "ånden til ISO 27001" brukt så vel som dokumentene på dette seniornivået, så en direktør som går inn i en revisjon og later som han forstår ISO 27001 Information Security Management System er også en oppskrift på katastrofe.

Du trenger også folk som forstår virksomheten din med evnen, kapasiteten og selvtilliten til å møte kravene. «Mennesket»-investeringen bestemmes av teknologien som brukes til å implementere og vedlikeholde ISO 27001 Information Security Management System (ISMS).

Du trenger for eksempel:

• En digital eller papirbasert løsning for å beskrive hvordan du oppfyller kjernekravene i ISO 27001 og hvordan det administreres over tid (du blir revidert minst årlig – se videre nedenfor).
• Det er et lignende miljø for å dokumentere og administrere alle vedlegg A-kontroller og -policyer som er utviklet, og deretter sikre at de gjøres tilgjengelige for personene de søker til. Du kan bevise at de er klar over dem og er engasjerte (husk at disse menneskene kan være ansatte og leverandører). Ikke bare skriv kontroller og retningslinjer for sakens skyld heller. De bør alle være basert på problemene organisasjonen din står overfor, dine interesserte parters forventninger, omfanget og grensene (f.eks. produkter, lokasjoner osv.) og informasjonsmidlene du ønsker å beskytte. Du må "vise arbeidet ditt" her også og dokumentere alt dette. Det blir vanskelig å gjøre det bra og vedlikeholde det over tid med bare word-dokumenter, regneark og en delt disk.
• Ditt styringssystem vil ha alle verktøyene som ligger til grunn for dette arbeidet, dokumentert og lett fulgt av revisor.
  Alle disse aktivitetene blir risikovurdert (med ditt risikostyringsverktøy) for å hjelpe deg med å bestemme hvilke av vedlegg A-kontrollmålene du må implementere, som uten å bli for teknisk på dette stadiet, fører til din Anvendelseserklæring. Sa jeg allerede at du må demonstrere dette for en revisor for å bli sertifisert til ISO 27001?
• Et dokumentsett kan hjelpe hvis det er praktisk, dvs. du praktisk talt kan bruke det, og det er enkelt å ta i bruk, tilpasse og legge til. Den bør også integreres i den teknologiløsningen.
• Hvis du stoler på forsyningskjeden, må du vise hvordan du kontrollerer disse leverandørene og spesielt kontraktene deres (det er også et grunnleggende krav til GDPR-overholdelse!)
• Kontrollmålene og kravene forutsetter beskrivelsen av tilnærmingen (f.eks. retningslinjer for hvordan sikkerhetshendelser skal håndteres) og demonstrasjonen av den (dvs. sporingen av sikkerhetshendelser med alle dens hendelser, hendelser og svakheter detaljer og bevis lett tilgjengelig også).

Planlegg, gjør, sjekk, handle

Anerkjente tilnærminger for å implementere et system inkluderer PDCA-tilnærmingen (Plan, Do, Check, Act). Det var en standard kvalitetsstyringstilnærming, men er kanskje litt passé i sin bokstavelige form.

2013/17-versjonen av ISO 27001 muliggjorde en mer smidig og dynamisk prosess som støtter kontinuerlig evaluering og forbedring av styringssystemet, så mer en sanntids-PDCA og blande sammen PDCA-ordren også for en pragmatisk smidig tilnærming. Organisasjoner har vanligvis denne typen dynamiske tilnærminger for sine operasjonelle sikkerhetssystemer, f.eks. brannmurer, nettverksskannere osv. Det er mer egnet til det stadig skiftende moderne risikolandskapet. Et godt administrert styringssystem for informasjonssikkerhet vil være et mye mer smidig, dynamisk og kontinuerlig overvåket ISMS i fremtiden.

1. Plan for implementering av ISO 27001

Når du legger til mer kontekst og struktur til din ISO 27001-implementeringsplan, bør den ledende implementeren vurdere følgende aspekter:

• Vær tydelig på målene, overbevisende grunner til å handle og eventuelle tidsfrister du ønsker å nå – så vel som konsekvensene hvis det går.
• Identifiser overskriften RoI slik at du kan bruke de riktige menneskene og lederskapet – det vil også hjelpe budsjettutviklingen hvis det er nødvendig.
• Hvis teamet er nytt for ISO 27001, kjøp ISO-standardene og ISO 27002-veiledningen, og les den – sammenlign ditt nåværende interne miljø med det som kreves for å lykkes (en lett gap-analyse). Mange av kravene, prosessene og kontrollene kan allerede være på plass og trenger formalisering. Du trenger kanskje ikke ekstern opplæring eller ledende revisorimplementeringsprogrammer – disse kan være bortkastede og negativt påvirke hvordan du vil at styringssystemet for informasjonssikkerhet skal fungere som et praktisk ISMS.
• Vurder forhåndskonfigurerte teknologiløsninger og verktøy for å sammenligne om det er bedre enn det du allerede har internt og bedre bruk av dine verdifulle ressurser. Noen av disse løsningene, som ISMS.online, har allerede alle verktøyene du trenger og inkluderer handlingskraftig dokumentasjon du kan ta i bruk, tilpasse og legge til for et massivt forsprang, og tilbyr virtuell coaching og opplæring for å oppnå sertifisering.
• Kom i gang ... og del alt arbeidet ned i små biter og feir kraften til små gevinster. Å se hyppige fremskritt mot 100 % fullstendighet er smittsomt, så husk å finne en synlig, gjennomsiktig og samarbeidsløsning for å dele disse små suksessene!

2. Ta tak i nøkkelelementene i ISO 27001-standarden

ISO 27001 kan gjøres nedenfra og opp ved å ta en policy-ledet tilnærming, ganske enkelt lage dokumentasjon for vedlegg A-kontroller. Den mer strategiske og forretningsledede tilnærmingen følger imidlertid i store trekk måten ISO 27001 er skrevet og logisk. Vi har oppsummert det enkelt slik:

• Se på problemene organisasjonen din står overfor og forstå behovene til interesserte parter (interessenter); spesielt identifiser informasjonsmidlene så tidlig som mulig også (du får mer detaljert informasjon om dem senere).
• Angi grensene og omfanget av ISMS.
• Definer organisasjonens sikkerhetsmål fra ISMS.
• Sett på plass muligheten for regelmessige implementeringsgjennomganger, revisjoner og evalueringer for å vise at du har kontroll og dokumenter (kort) fra dag 1 av implementeringen for å dele denne reisen med revisor og for lærdom.
• Identifiser risikoene for disse informasjonsmidlene og utfør risikovurderinger – hvis det mangler ressurser, anbefaler vi at du prioriterer informasjonsmidlene med høyere risiko og mer betydelige trusler mot CIA basert på sannsynlighet og virkning.
• Lag en risikobehandlingsplan for hver risiko. Der det er hensiktsmessig, velg vedlegg A-kontrollmål og -kontroller som skal implementeres og adresserer disse risikoene – ideelt sett koble det sammen slik at du vet at eiendeler, risikoer og kontroller passer sammen. Hvis du endrer eller vurderer én del, ser du effekten på de relaterte delene.
• Forbered din erklæring om anvendelighet – dette fanger mange mennesker, men det er et obligatorisk krav og kan kaste bort mye tid.

Husk å dokumentere alt og vis at hele systemet fungerer med den vanlige evalueringen.

3. Evaluer din ISO 27001 i samsvar med standarden og dens beredskap til å oppnå sertifisering

Det er avgjørende å ha målinger og vurderinger på plass for å sikre at ISMS-en din oppfyller målene. ISO 27001 inkluderer krav til at planlagt evaluering skal skje i form av:

• Ledelsens vurderinger
• Interne revisjoner
• Eksterne revisjoner – der det er aktuelt, kan dette være fra et ISO 27001-sertifiseringsorgan eller kunder, eller konsulenter

4. Forbedre ditt ISMS etter behov og organiser trinn 1-revisjonen av det eksterne sertifiseringsorganet

Den kontinuerlige forbedringsprosessen er nøkkelen til ISO 27001 suksess og er noe som revisorer vil se for å se bevis på dette.

Sikkerhetstrusler og sårbarheter endrer seg raskt, ettersom organisasjoner i mange tilfeller vekst eller mål. En virksomhet må vise sin forpliktelse til å ta korrigerende handlinger og gjøre forbedringer i ISMS. Implementert på riktig måte, vil ISMS-en din være en forretningsmuliggjører i stedet for å begrense hvordan du vil drive virksomheten din.

Hvordan blir jeg ISO 27001-sertifisert?

Etter å ha implementert styringssystemet for informasjonssikkerhet og gjennomført de første ledelsesgjennomgangene av ISMS, og begynt å etterleve tilnærmingen i praksis, vil du være på god vei til å bli sertifisert til ISO 27001.

Det er en to-trinns prosess for å bli sertifisert med United Kingdom Accreditation Service sin akkrediterte standard:

Trinn 1 revisjon

Enkelt sagt, sertifiseringsorganets revisor vil se dokumentasjonen for informasjonssikkerhetsstyringssystemet og at du har oppfylt kravene, i det minste i teorien! Det er mer en skrivebordsgjennomgang av ISMS med revisor på dette stadiet, som dekker de obligatoriske områdene og sikrer at ånden i standarden blir brukt. Fremtidstenkende sertifiseringsorganer begynner å gjøre disse eksternt, noe som reduserer kostnadene og fremskynder prosessen.

Resultatet fra denne øvelsen er en anbefaling for trinn 2-revisjonsberedskap (kanskje med observasjoner for å revurdere under trinn 2-revisjonen) eller et behov for å adressere eventuelle avvik som er identifisert før videre fremgang kan skje.

Avhengig av statusen din for interne revisjoner, kan du bli bedt om å fullføre en fullstendig internrevisjon før trinn 2. Vi foreslår at du blir enige om detaljer med revisorene dine ettersom noen ser etter litt forskjellige ting – det er litt som fotballregler der dommere tolker dem annerledes . Sørg for at du spør dem! En god revisor vil at du skal lykkes og hjelpe deg å forstå hva de forventer å se for en trinn 2-revisjon.

Mange organisasjoner mislykkes i trinn 1, og det er av et vanlig sett med årsaker som vanligvis lett kan løses med en god løsning for informasjonssikkerhetsstyringssystem (med mindre lederskapet ditt ikke er engasjert, vil ingenting hjelpe med ISMS!)

Trinn 2 revisjon

Det er her revisorene vil begynne å lete etter bevisene på at det dokumenterte styringssystemet for informasjonssikkerhet blir levd og åndet i praksis. Dine ansatte vil bli engasjert, intervjuet; ISO 27001-revisoren vil vurdere omfanget ditt rundt den fysiske plasseringen, systemene, prosessene og prosedyrene. Som de fleste revisjoner vil det være en utvalgsstørrelse, og hvis du kan lede revisor med et samlet system, vil de ta stor tillit til det.

Resultatet av denne øvelsen er enten bestått eller ikke bestått. Hvis du består, har du det høyt verdsatte sertifikatet, mislykkes, og du vil ha arbeid igjen rundt avvik før du kan sende inn for en ny revisjon eller en spesifikk vurdering av avviket.

Hvor mye koster ISO 27001-sertifisering?

Sertifiseringsrevisjon er ikke hovedkostnaden du må vurdere. Den høyeste kostnaden er tiden og innsatsen for å oppnå sertifisering fra personene som er involvert i den første byggingen av informasjonssikkerhetsstyringssystemet ditt og vedlikehold av ISMS år etter år etter det.

Det kan ha mulighetskostnader for inntektstap fra seniorressurser, kjernekompetansedistraksjon for virksomheten og høyere kostnader ved rådgivning dersom du henter inn hjelp utenfra uten et sterkt teknologisk utgangspunkt.

Sertifiseringskostnader er imidlertid fortsatt verdt å vurdere og er basert på organisasjonens størrelse, omfang, prosesser osv. De fleste sertifiseringsorganer vil gi enten et raskt tilbud online eller en oppfølging.

ISO 27001 sertifiseringskostnader bør vurderes over en 3-årig sertifiseringssyklus:

• Innledende revisjon og sertifiseringsrevisjon – trinn 1 og 2
• Overvåkingsrevisjoner for år 1 og 2
• Deretter fortsetter syklusen igjen, med re-sertifisering hvert tredje år.

Revisjonshonorarer er vanligvis rundt £1,000 1 per dag (ekskl. moms), og antall dager som trengs varierer med størrelsen på organisasjonen og omfanget av styringssystemet. For eksempel kan en liten bedrift med et enkelt omfang (f.eks. ett produkt, få prosesser, ett hovedkontor osv.) trenge én dag for en trinn 2-revisjon, to dager for en trinn XNUMX-revisjon og en ekstra dag per årlig overvåking.

Det er også verdt å se etter mer innovative revisjonsorganer som er forberedt på å se på fjernkontroller i trinn 1. Dette vil sannsynligvis kun vurderes der styringssystemet holdes helt digitalt, slik det er med ISMS.online. Dette betyr at det er lettere for dem som revisorer å se gjennomføringen på jobb. Dette vil spare kostnader på uunngåelige reiseutgifter og tid.

Vedlikeholde din ISO 27001-sertifisering

ISO 27001-sertifisering utføres over en 3-års syklus:

• Trinn 1 og 2 deretter tildeling av sertifikatet
• Overvåkingsrevisjon 1 (vanligvis årlig eller kan være hyppigere basert på omfang, risiko og størrelse)
• Overvåkingsrevisjon 2
• Tredje års re-sertifisering og mer detaljert evaluering

Det kan ta 4-6 uker å bestille hos et revisjonsorgan, så husk denne ledetiden, og vi anbefaler å finne en revisor som er godt kjent med din sektor og virksomhetsstørrelse. Ellers kan de være mer eller mindre kostbare, men hvis de ikke forstår utfordringene i informasjonssikkerhetsstyringssystemet fra et forretningsperspektiv, kan det være en smertefull prosess. Husk at revisor generelt alltid har rett (selv om du lettere kan demonstrere hvorfor du har gjort noe og forklart risikoviljen din, kontrollvalg osv., hvis du har et godt administrert ISMS.)