Hvis du vurderer en ISO 27001 dokumentverktøysett, les dette først. 2011 var et år da det skjedde mye. Et kongelig bryllup, en arabisk vår, Amy Winehouse som dør (sammen med mange andre bemerkelsesverdige karakterer), og noen forferdelige jordskjelv rundt om i verden. Vi hadde også vårt første jordskjelv Alliantist også (relativt sett var det et ekkelt sjokk); et behov for å oppnå ISO 27001. Og oppnå det med en uavhengig UKAS-sertifisering for å tilfredsstille vår viktigste kunde. Så vi nikket til kunden og gikk bort for å finne ut hva som var involvert. Rystelsene fortsatte en stund etterpå.
På det stadiet (mange år før vi utviklet ISMS.online) hadde vi bokstavelig talt ingen anelse om hva et styringssystem for informasjonssikkerhet (ISMS) var, og vi visste ingenting om ISO 27001. Kunden som var involvert elsket vår spesialistpam sikker skyprogramvaretjeneste og fortalte oss at ISO 27001 informasjonssikkerhetsstyringssystem standard ble nødvendig fordi de så på plattformen vår som viktig for å dele mer sensitiv informasjon enn før.
Vi gjorde det folk flest gjør når de trenger å forske på noe; søk på nettet. Vi måtte også håpe at det var en rask ISO 27001-implementeringsgevinst tilgjengelig til en pris vi hadde råd til, fordi kostnadene ikke var tatt med i avtalen som ble inngått med kunden, og vi måtte gjøre det ganske raskt. Tross alt, hvem budsjetterer for et styringssystem for informasjonssikkerhet når de ikke forstår hva som er involvert?
Tidlige søk førte til at vi forsto at det var viktig å ha ISO 27001-dokumentasjon. Det førte til søk etter gratis ISO 27001 dokumentasjonsmaler, gratis ISO 27001 verktøy og ISO 27001 dokumentverktøysett sammen med databeskyttelsesverktøysett. Og vi sjekket ut de betalte tingene også, som vi alle vet, gratis er sjelden i praksis. Internett og dette emnet har åpenbart kommet på vei på 8 år, og det har også regulering med ting som GDPR, noe som betyr at informasjonssikkerhetsstyring er enda viktigere for alle nå, ikke bare for den utdannede kunden. Det er lett å le av naiviteten vår nå, men som et resultat av markedsføringen og vår mangel på kunnskap ble vi hektet inn i den første attraksjonen til ISO 27001 dokumentverktøysett som "hurtigløsningen" for å få vår uavhengige ISO-sertifisering.
Så vi kjøpte et "omfattende verktøysett" fra en kjent leverandør av informasjonssikkerhetsadministrasjon og trodde vi hadde gjort det bra, bare brukt rundt 1,000 pund. Så kjøpte vi ISO 27001- og ISO 27002-standardene som kostet omtrent 100 pund hver. Den sistnevnte avgjørelsen var sentral for oss av mange grunner, ikke minst for å forstå standardstrukturen, nummereringen og være mye tydeligere på hva alle forventningene var.
Verktøysettene viste seg å være et dårlig omfang av grunnleggende excel- og word-dokumenter med gammeldagse versjonskontrollmekanismer og ingen klarhet for hva vi skulle gjøre videre. Kan vi bare finjustere disse ISO 27001-malene, dumpe det inn i en Google Drive eller sharepoint-side og vise den eksterne revisoren at vi var klare for vår Stage 1 Audit? Ikke helt. Vi kastet bort mye tid på å prøve å finne ut av det. Alternativkostnaden for vår konsulentdagpris ble betydelig, og vi var ikke nærmere målet om et sertifisert ISMS som kunden kunne stole på.
Ved nærmere ettertanke er det analogt med kjøp av en paraply for å løse en jordskjelvrisiko; en muligens nyttig ressurs, men på langt nær nok, og du kunne ha brukt de pengene mer effektivt. Kanskje det til og med er et ansvar hvis du også skulle bli stukket i øyet av den spisse paraplyen også når du var usikker på hva du skulle gjøre med den under jordskjelvet... Jeg presser åpenbart analogier og blander metaforene mine litt langt. Det bokstavelige poenget er at ISO 27001-dokumentasjon i seg selv ikke er nok, og ISO-standardekspertene har klart uttalt at et "styringssystem" er det viktigste å oppnå.
Last ned din gratis guide til rask og bærekraftig sertifisering
Vi trenger bare noen få detaljer slik at vi kan sende deg en e-post med guiden din for å oppnå ISO 27001 første gang
Last ned din gratis guide nå, og hvis du har noen spørsmål i det hele tatt Bestill en demo or Kontakt oss. Vi hjelper deg gjerne.
Vår ISMS kommer forhåndskonfigurert med verktøy, rammeverk og dokumentasjon du kan adoptere, tilpasse eller legge til. Enkel.
Vår sikrede resultatmetode er utviklet for å få deg sertifisert på ditt første forsøk. 100 % suksessrate.
Glem tidkrevende og kostbar trening. Vår virtuelle coach-videoserie er tilgjengelig 24/7 for å veilede deg gjennom.
Presser det konseptet med 'verktøysett' og ISO 27001-verktøy for langt når du bare får en haug med dokumenter og regneark? Kanskje, selv om wikipedia nevner regneark som et eksempel på et verktøy! Så er det "verktøykassen" og "verktøykassen", som betyr forskjellige ting for forskjellige mennesker.
Tenk deg dette for verktøyene og verktøysettet ditt: ser tiltalende ut, men vil neppe gjøre jobben bra med mindre du er rundt fire år gammel.
I motsetning til dette for verktøyene og verktøysettet ditt: omfattende, vel organisert og raskt å finne det du trenger når du vil ha det og enkelt å bruke av uerfarne fagfolk også. Men det kan også koste mye mer og ikke være det du egentlig trenger også.
I realiteten når informasjonssikkerhet e-handelssider og konsulenter snakker om verktøysett, det de egentlig mener er ISO 27001-dokumentasjon. Den faktiske innholdskvaliteten, omfanget og veiledningen med det kan variere fra:
Ingen av disse oppnår faktisk ISO 27001 suksess alene, og de lager heller ikke et styringssystem for informasjonssikkerhet i seg selv.
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
For å oppnå ISO 27001 og få en uavhengig sertifisering er det behov for å beskrive og demonstrere dokumentasjon (innhold) som fungerer i praksis for rundt 140 spesifikke aktiviteter. Det inkluderer forberedelse, møte ISO 27001 kjernekravklausuler og adressering av vedlegg A-kontrollene. Så å ha dokumentasjonen er én ting, å vise at den er relevant for din organisasjon og at du lever styringssystemet i praksis er en annen.
Det er derfor viktig å kvalifisere nøye hva som er inkludert i et dokumentasjonsverktøysett. Du ønsker ikke å få en Bob the Builder delvis verktøykasse med kvalitetspassform for en fire år gammel bruker når det du virkelig ønsket var det voksne og omfattende Snap-on-verktøysettet. På samme måte, hvorfor kjøpe et omfattende verktøysett når du allerede har ekvivalenter med skiftenøkkel og hammer. I praksis er det svært få organisasjoner som faktisk starter implementeringen fra null. Vi har laget en ISO 27001 implementeringstilnærming kalt ARM; de Metode for sikrede resultater. Det hjelper organisasjoner med å oppnå standarden ved å bygge på det de allerede har og være pragmatisk i sin tilnærming til ISO 27001-sertifisering.
Det avhenger av kvaliteten og omfanget av det du kjøpte, og hva annet du har for å betjene og administrere ditt ISO 27001-styringssystem også. Du vil enkelt ta i bruk, tilpasse og legge til dokumentasjonen og verktøyene for å gjøre den relevant for organisasjonens ønskede måte å jobbe på.
Med kraften og rimeligheten til teknologi vil du ønske å ha en digital styringssystem for å hjelpe til med koordinering og kontroll dokumentasjonen din, som viser at du gjennomgår den regelmessig, samt "lev og pust" alle relevante krav og kontroller på den måten standarden forventer. Selv om det er mange forskjellige måter å gjøre det på, har vi identifisert hva vi anser for å være nøkkelegenskaper ved ISMS-programvare.
En skreddersydd praktisk økt basert på dine behov og mål
ISO 27001-dokumentasjon er viktig, og som nevnt ovenfor, sannsynligvis det første folk søker etter selv i dag når de er nye i standarden. Mange henvendelser som vi mottar i dag for ISMS.online starter med kommentaren "Vi har nylig kjøpt et dokumentverktøysett, men innser nå at det ikke var det vi trodde det var..." Dessverre vil de fleste av disse organisasjonene, som vi gjorde, nesten helt sikkert ha kastet bort £500-1500 og tiden deres på å komme til den posisjonen.
Det er veldig viktig at du ikke bare beskriver innholdet, men også demonstrerer det uansett politikk og kontroll dokumentasjon du bruker, som er tydelig i dens operasjonelle bruk. For eksempel hvis din policy sier at du bruker 2-faktor autentisering og har systemer administratortillatelseskontroller, sørg for at du kan vise dem i praksis til en revisor.
Du kan ikke bare ha en risikostyringsmetodikk i et frittstående dokument, du må identifisere og håndtere risikoer regelmessig i praksis – hvis det er vanskelig å følge denne policyen i praksis eller ikke kommer til å skje fordi policyen eller verktøyet er klønete, vil sertifiseringsarbeidet ditt vil mislykkes. Derfor kan dokumentasjonsverktøysett være en eiendel eller en forpliktelse, avhengig av hva du kjøper, hvor du får det fra og hvordan du bruker det. Advarsel emptor!
Vi har tenkt lenge og hardt på hvilket nivå og omfang av utfyllende dokumentasjon som bør leveres med ISMS.online, for de som ønsker et forsprang. Vi endte opp med det synet at vi kan "hånd på hjertet" hjelpe organisasjoner med opptil 77 % fremgang på alle sine krav og kontrolldokumentasjon I det øyeblikket de logger på, er materialet vårt så enkelt å ta i bruk, tilpasse og legge til kontra andre. Det reduserer tidsbruken betraktelig og sparer mye penger. Tilbakemeldinger fra kunder tyder på at det er den mest omfattende pakken med materialer der ute, spesielt når den kompletteres med vår Virtual Coach-tjeneste og ARM som hjelper til med å akselerere implementeringen av ISO 27001.
Mer betydelig sørget vi for at alt innholdet danner praktisk og handlingskraftig dokumentasjon i ISMS.online-styringssystemet. Tross alt må du ha et styringssystem for informasjonssikkerhet for å oppnå ISO 27001 og et dokumentverktøysett er bare ikke nok uansett hvor bra det er. Vi fant ut det til vår betydelige pris for mange år siden, og det er synd at andre fortsatt faller i sprekkene (tilbake til det jordskjelvet;), men med ISMS.online tilgjengelig nå, trenger du ikke å være en av dem.
Bestill en skreddersydd praktisk økt basert på dine behov og mål.