Hvordan opprettholde din ISO 27001-sertifisering
Innholdsfortegnelse:
- 1) Veiledning for å opprettholde din ISO 27001-sertifisering
- 2) Her er våre fem beste tips for å opprettholde ISO 27001
- 3) Husk at ISMS er for livet, ikke bare for ISO 27001-sertifiseringsdagen
- 4) Sørg for at du utfører periodiske gjennomganger på tvers av organisasjonen
- 5) Ikke la ISMS-samsvar falle av kollegenes radar
- 6) Korriger eventuelle ISMS-problemer så snart de dukker opp
- 7) Hold øye med utviklingsmuligheter for ISMS
- 8) Ofte stilte spørsmål
- 9) Fordelene med ISO 27001 »
Veiledning for å opprettholde din ISO 27001-sertifisering
Opprettholde ISO 27001: Selv med den beste hjelpen og støtten som er tilgjengelig, er det utfordrende å oppnå ISO 27001-sertifisering. Å finne riktig sertifiseringsorgan og komme gjennom sertifiseringsprosessen krever tid, krefter og reell organisatorisk forpliktelse.
Så når du først har lykkes, kan det være fristende å feire og så bare slutte å tenke på det hele.
Men ISO 27001 er ikke en brann og glem-standard. For å opprettholde din ISO 27001-sertifisering må du gjennomgå en treårig revisjonssyklus.
Ditt ISO 27001-sertifiseringsorgan vil følge nøye med på din styringssystem for informasjonssikkerhet eller ISMS. Den vil gjennomgå regelmessig eksternt vedlikehold revisjoner under sertifiseringen din tre års livssyklus. Du må løpe effektivt interne revisjoner også. De er en like stor del av revisjonsprosessen som din første sertifisering revisjoner.
Og på slutten av disse tre årene, må du være klar for ISO 27001-resertifisering.
Her er våre fem beste tips for å opprettholde ISO 27001
- Opprettholde og utvikle din styringssystem for informasjonssikkerhet
- Bestå vedlikeholdsrevisjonene med glans
- Er alle klare for din resertifiseringsrevisjon
Vi sier alltid det bra informasjonssikkerhet er litt som å passe på bilen din.
For å fortsette å kjøre rundt lykkelig og trygt, må du holde deg på toppen av alt fra veiavgift og forsikring til vanlige tjenester og MOT-er. Og du vil jevnlig sjekke alle de små detaljene, fra hvordan dekkene dine slites til om du går tom for vindusrens.
Informasjonssikkerhet er ikke bare en boks du krysser av. Det er en hel prosess som alltid pågår.
Husk at ISMS er for livet, ikke bare for ISO 27001-sertifiseringsdagen
Den beste måten å vedlikeholde din ISO 27001-sertifisering er å gjøre ISMS omsorg til en del av din daglige forretningsdrift. Jo mer du kan jevne ut det hele, jo færre vedlikeholdstopper må du bestige og bunner du blir sittende fast i. Og jo sikrere blir datamidlene dine!
Start med å beholde ISMS'en din interne revisjoner tøffer med. Prøv å gjøre en i måneden i elleve måneder. Det er mye bedre enn å overlate dem alle til siste minutt, for så plutselig å finne ut at alle dine interne styringssystemrevisjoner skal skje et par dager før de eksterne revisorene dine kommer.
Sørg for at du utfører periodiske gjennomganger på tvers av organisasjonen
Du er ikke den eneste som trenger å holde øye med ISMS.
Å involvere seniorlederne dine gjennom en regelmessig ledelsesgjennomgangsprosess er et sentralt ISO 27001-krav. Det er ingen fast frekvens for dem. En i året anses som akseptabel, men for et riktig administrert ISMS anbefaler vi å holde ledelsesgjennomganger minst hver sjette måned.
Det vil hjelpe deg:
Hold seniorledere oppdatert med den raskt bevegelige verdenen av datasikkerhet ved å dele detaljer om:
- Eventuelle cybersikkerhetstrusler eller datainnbrudd din ISMS har håndtert
- Din risikovurdering og risikostyring strategier
- Andre ISMS- eller ISO 27001-relevante hendelser og utviklinger
Opprettholde deres innkjøp og generell eller spesifikk støtte, slik at de:
- Støtt og fremhev beste praksis på tvers av virksomheten din
- Forbli i samsvar med ISMS selv
- Opphold klar av eventuelle interne prosesser som trenger deres involvering
Ta hensyn til deres strategiske mål når du administrerer og utvikler ISMS, for å:
- Veilede deg mens du kontinuerlig forbedrer den
- Sørg for at alle aktivitetene dine er på rett spor
- Sjekk inn eventuelle tredjeparter de har å gjøre med på seniornivå
Og hvis andre avdelinger tar vare på deler av ISMS-en din, sørg for at du holder regelmessig kontakt med dem. Det er veldig frustrerende å være på toppen av ditt eget ansvar, for så i siste øyeblikk å finne ut at ditt menneskelige ressurser, juridiske eller til og med immaterielle personer (for eksempel) har droppet ballen.
En unngåelig datainnbrudd i en annen del av organisasjonen din er en uvelkommen overraskelse, men med litt beste praksis-atferd er det enkelt å unngå. Og det er den typen utmerket forretningsatferd ISO-standarder er laget for å definere og oppmuntre.
Ikke la ISMS-samsvar falle av kollegenes radar
Vi anbefaler en pågående informasjonssikkerhetsbevissthet og kommunikasjon programmer.
Du har sannsynligvis allerede delt detaljer om ISO 27001-sertifiseringsprosessen. Et pågående kommunikasjonsprogram som fortsetter å kjøre etter sertifisering vil hjelpe kollegene dine:
- Hold deg klar over sikkerhetskontroller som gjelder dem
- Forbli i samsvar med dem
- Hold et bredere utkikk etter potensielle hendelser eller problemer
Å gi dem beskjed når ISMS-en din har avverget cyberangrep eller håndtert andre informasjonssikkerhetsutfordringer, vil også hjelpe dem å forstå verdien for virksomheten din.
Mulige kommunikasjonsaktiviteter inkluderer:
- Månedlige plakater som deler detaljer om informasjonssikkerhetsangrep eller hendelser
- Vanlig forfalskning phishing-e-poster for å se hvor mange som svarer hensiktsmessig
- Løpende informasjonssikkerhetsopplæring og oppfriskningsøkter
- Sørge for at de riktige personene har tilgang til relevante deler av ISMS-dokumentasjonen din
Og det er bare til å begynne med. Det er mange flere måter du kan sikre samsvar på tvers av organisasjonen. Hvis du har et internt kommunikasjonsteam, anbefaler vi å sette opp en vanlig gjennomgangsøkt med dem. Og hvis du ikke gjør det, må du implementere ditt eget ISO 27001 kommunikasjonsprogram.
Korriger eventuelle ISMS-problemer så snart de dukker opp
En ukontrollert ISMS er ikke verdt å ha. Så du vil holde et konstant øye med det. Og når du identifiserer problemer, logger du korrigerende tiltak og implementere et svar på dem. Det er der mange organisasjoner sklir opp. De samler inn og logger handlinger, men mister deretter fokus og ignorerer dem. Ikke gjør den feilen!
- Vær alltid på toppen av dine korrigerende handlinger.
Å ikke svare på korrigerende handlinger er sannsynligvis den enkleste måten å få et avvik ved neste revisjon. Noe som også gjør det til et av de enkleste problemene å unngå. Bare bygg vanlige korrigerende handlingsøkter inn i den ukentlige og månedlige planen din. Hvorfor risikere revisjonsproblemer når det er så lett å unngå
Hold øye med utviklingsmuligheter for ISMS
ISO-sertifisering kan dekke mye mer enn bare informasjonssikkerhet. Og oppnå samsvar eller sertifisering med andre standarder og forskrifter vil øke:
- Organisasjonens merkevare og effektivitet
- Din avkastning på investeringen din i styring, risiko og overholdelse
Vi gjør det enkelt å utvikle ditt ISO 27001-sertifiserte ISMS til et integrert styringssystem som dekker flere ISO og andre standarder. De inkluderer:
- Personvernstyring fokusert på ISO 27701
- Fokusert på forretningskontinuitet ISO 22301
ISO-sertifiseringsprosessen er veldig lik fra standard til standard, så når du har oppnådd en sertifisering vil det være en enklere oppgave å få den neste. Hvis du har bygget et integrert styringssystem ved hjelp av plattformen vår det vil være enkelt å gjenbruke arbeid utført for én standard for å oppnå en annen.
Og det handler ikke bare om ISO-sertifisering. Din ISMS kan også hjelpe deg å vise samsvar med forskrifter som GDPR og POPIA også.