ISO-27001-sertifisering

Hvordan opprettholde din ISO 27001-sertifisering

Veiledning for å opprettholde din ISO 27001-sertifisering

Opprettholde ISO 27001: Selv med den beste hjelpen og støtten som er tilgjengelig, er det utfordrende å oppnå ISO 27001-sertifisering. Å finne riktig sertifiseringsorgan og komme gjennom sertifiseringsprosessen krever tid, krefter og reell organisatorisk forpliktelse.

Så når du først har lykkes, kan det være fristende å feire og så bare slutte å tenke på det hele.

Men ISO 27001 er ikke en brann og glem-standard. For å opprettholde din ISO 27001-sertifisering må du gjennomgå en treårig revisjonssyklus.

Ditt ISO 27001-sertifiseringsorgan vil følge nøye med på din styringssystem for informasjonssikkerhet eller ISMS. Den vil gjennomgå regelmessig eksternt vedlikehold revisjoner under sertifiseringen din tre års livssyklus. Du må løpe effektivt interne revisjoner også. De er en like stor del av revisjonsprosessen som din første sertifisering revisjoner.

Og på slutten av disse tre årene, må du være klar for ISO 27001-resertifisering.

Her er våre fem beste tips for å opprettholde ISO 27001

Vi sier alltid det bra informasjonssikkerhet er litt som å passe på bilen din.

For å fortsette å kjøre rundt lykkelig og trygt, må du holde deg på toppen av alt fra veiavgift og forsikring til vanlige tjenester og MOT-er. Og du vil jevnlig sjekke alle de små detaljene, fra hvordan dekkene dine slites til om du går tom for vindusrens.

Informasjonssikkerhet er ikke bare en boks du krysser av. Det er en hel prosess som alltid pågår.

Husk at ISMS er for livet, ikke bare for ISO 27001-sertifiseringsdagen

Den beste måten å vedlikeholde din ISO 27001-sertifisering er å gjøre ISMS omsorg til en del av din daglige forretningsdrift. Jo mer du kan jevne ut det hele, jo færre vedlikeholdstopper må du bestige og bunner du blir sittende fast i. Og jo sikrere blir datamidlene dine!

Start med å beholde ISMS'en din interne revisjoner tøffer med. Prøv å gjøre en i måneden i elleve måneder. Det er mye bedre enn å overlate dem alle til siste minutt, for så plutselig å finne ut at alle dine interne styringssystemrevisjoner skal skje et par dager før de eksterne revisorene dine kommer.

Sørg for at du utfører periodiske gjennomganger på tvers av organisasjonen

Du er ikke den eneste som trenger å holde øye med ISMS.

Å involvere seniorlederne dine gjennom en regelmessig ledelsesgjennomgangsprosess er et sentralt ISO 27001-krav. Det er ingen fast frekvens for dem. En i året anses som akseptabel, men for et riktig administrert ISMS anbefaler vi å holde ledelsesgjennomganger minst hver sjette måned.

Det vil hjelpe deg:

Hold seniorledere oppdatert med den raskt bevegelige verdenen av datasikkerhet ved å dele detaljer om:

  • Eventuelle cybersikkerhetstrusler eller datainnbrudd din ISMS har håndtert
  • Din risikovurdering og risikostyring strategier
  • Andre ISMS- eller ISO 27001-relevante hendelser og utviklinger

Opprettholde deres innkjøp og generell eller spesifikk støtte, slik at de:

  • Støtt og fremhev beste praksis på tvers av virksomheten din
  • Forbli i samsvar med ISMS selv
  • Opphold klar av eventuelle interne prosesser som trenger deres involvering

Ta hensyn til deres strategiske mål når du administrerer og utvikler ISMS, for å:

  • Veilede deg mens du kontinuerlig forbedrer den
  • Sørg for at alle aktivitetene dine er på rett spor
  • Sjekk inn eventuelle tredjeparter de har å gjøre med på seniornivå

Og hvis andre avdelinger tar vare på deler av ISMS-en din, sørg for at du holder regelmessig kontakt med dem. Det er veldig frustrerende å være på toppen av ditt eget ansvar, for så i siste øyeblikk å finne ut at ditt menneskelige ressurser, juridiske eller til og med immaterielle personer (for eksempel) har droppet ballen.

En unngåelig datainnbrudd i en annen del av organisasjonen din er en uvelkommen overraskelse, men med litt beste praksis-atferd er det enkelt å unngå. Og det er den typen utmerket forretningsatferd ISO-standarder er laget for å definere og oppmuntre.

Ikke la ISMS-samsvar falle av kollegenes radar

Vi anbefaler en pågående informasjonssikkerhetsbevissthet og kommunikasjon programmer.

Du har sannsynligvis allerede delt detaljer om ISO 27001-sertifiseringsprosessen. Et pågående kommunikasjonsprogram som fortsetter å kjøre etter sertifisering vil hjelpe kollegene dine:

  • Hold deg klar over sikkerhetskontroller som gjelder dem
  • Forbli i samsvar med dem
  • Hold et bredere utkikk etter potensielle hendelser eller problemer

Å gi dem beskjed når ISMS-en din har avverget cyberangrep eller håndtert andre informasjonssikkerhetsutfordringer, vil også hjelpe dem å forstå verdien for virksomheten din.

Mulige kommunikasjonsaktiviteter inkluderer:

  • Månedlige plakater som deler detaljer om informasjonssikkerhetsangrep eller hendelser
  • Vanlig forfalskning phishing-e-poster for å se hvor mange som svarer hensiktsmessig
  • Løpende informasjonssikkerhetsopplæring og oppfriskningsøkter
  • Sørge for at de riktige personene har tilgang til relevante deler av ISMS-dokumentasjonen din

Og det er bare til å begynne med. Det er mange flere måter du kan sikre samsvar på tvers av organisasjonen. Hvis du har et internt kommunikasjonsteam, anbefaler vi å sette opp en vanlig gjennomgangsøkt med dem. Og hvis du ikke gjør det, må du implementere ditt eget ISO 27001 kommunikasjonsprogram.

Korriger eventuelle ISMS-problemer så snart de dukker opp

En ukontrollert ISMS er ikke verdt å ha. Så du vil holde et konstant øye med det. Og når du identifiserer problemer, logger du korrigerende tiltak og implementere et svar på dem. Det er der mange organisasjoner sklir opp. De samler inn og logger handlinger, men mister deretter fokus og ignorerer dem. Ikke gjør den feilen!

  • Vær alltid på toppen av dine korrigerende handlinger.

Å ikke svare på korrigerende handlinger er sannsynligvis den enkleste måten å få et avvik ved neste revisjon. Noe som også gjør det til et av de enkleste problemene å unngå. Bare bygg vanlige korrigerende handlingsøkter inn i den ukentlige og månedlige planen din. Hvorfor risikere revisjonsproblemer når det er så lett å unngå

Hold øye med utviklingsmuligheter for ISMS

ISO-sertifisering kan dekke mye mer enn bare informasjonssikkerhet. Og oppnå samsvar eller sertifisering med andre standarder og forskrifter vil øke:

  • Organisasjonens merkevare og effektivitet
  • Din avkastning på investeringen din i styring, risiko og overholdelse

Vi gjør det enkelt å utvikle ditt ISO 27001-sertifiserte ISMS til et integrert styringssystem som dekker flere ISO og andre standarder. De inkluderer:

  • Personvernstyring fokusert på ISO 27701
  • Fokusert på forretningskontinuitet ISO 22301

ISO-sertifiseringsprosessen er veldig lik fra standard til standard, så når du har oppnådd en sertifisering vil det være en enklere oppgave å få den neste. Hvis du har bygget et integrert styringssystem ved hjelp av plattformen vår det vil være enkelt å gjenbruke arbeid utført for én standard for å oppnå en annen.

Og det handler ikke bare om ISO-sertifisering. Din ISMS kan også hjelpe deg å vise samsvar med forskrifter som GDPR og POPIA også.

Ofte stilte spørsmål

Hvor lenge varer ISO 27001-sertifiseringen?

Organisasjonens ISO 27001-sertifisering vil vare i tre år.

Hva er fordelene med å opprettholde sertifiseringen din?

Ditt ISMS vil utvikle seg med eksterne trusler og din egen bedrifts vekst. Den forblir robust, relevant og effektiv, og minimerer risikoen for organisasjonens informasjonssikkerhet. Og selvfølgelig er det en prestasjon i seg selv å unngå avvik i sertifiseringens treårige levetid.

Er pågående revisjoner en del av ISMS-vedlikeholdsprosessen?

I løpet av den treårige levetiden til ISO 27001-sertifiseringen din vil du gjennomgå årlige eksterne revisjoner fra sertifiseringsorganet ditt og utføre dine egne interne revisjoner. Vi anbefaler at du gjennomfører interne revisjoner en gang i måneden, i stedet for å ha det travelt rett før din eksterne revisjon.

Kan kollegene dine bidra til å opprettholde sertifiseringen din?

Ja. Når du har feiret sertifiseringen, må du sørge for at de holder seg klar over ISMS-en din. De bør forstå hvilke retningslinjer og kontroller som påvirker dem og opprettholde overholdelse av dem. Vi anbefaler å opprette kommunikasjonsprosedyrer for å holde dem i kontakt med dine ISO 27001-systemer.

Kan seniorlederne dine bidra til å opprettholde sertifiseringen din?

Ja, det er viktig. Å holde senior bedriftsledere involvert og i løkken under sertifiseringen er et sentralt ISO 27001-krav. Du trenger deres støtte og innkjøp for å implementere, vedlikeholde og utvikle ditt ISMS. Og du må sørge for at du er i samsvar med deres strategi, og at de overholder alle relevante retningslinjer og kontroller.

Kan leverandørene dine bidra til å opprettholde sertifiseringen din?

Hvis selskapene organisasjonen din jobber med faller innenfor ISMS-området ditt, må du demonstrere at de overholder det. Det betyr å dele relevante deler av dokumentasjonen med dem og sørge for at deres ansatte overholder relevante retningslinjer eller kontroller.

Trenger kundene dine å vite om ISMS?

Absolutt ja! Det vil bygge deres tillit til deg, og hjelpe bedriften din med å vinne nye kunder og beholde eksisterende. Sørg for at detaljene i ISO 27001-sertifiseringen din er enkle å dele med andre selskaper under salgsprosessen, og hold kundene oppdatert med relevante sikkerhetsprestasjoner.

Fordelene med ISO 27001 »

Sist redigert: 26. januar 2022
Forfatter

Al Robertson

Al er en profesjonell forfatter og publisert forfatter som dekker en rekke emner. Han har skrevet en rekke artikler om compliance og spesielt om informasjonssikkerhet og hvordan ISO 27001-sertifisering kan hjelpe organisasjoner med å vokse.

Se alle innlegg av Al Robertson

Relaterte innlegg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer