Hvis du har anerkjent fordelene med ISO/IEC 27001:2013, mer kjent som ISO 27001 – fra juridiske, forskriftsmessige og kontraktsmessige krav til nye forretningsmuligheter – og vi vurderer hvordan du skal håndtere implementeringen, har vi skissert noen viktige utfordringer og hvordan vi kan overvinne dem.
- Resurserer du implementeringen – trene, rekruttere eller anskaffe?
- Hvordan håndterer vi forstyrrelser i virksomheten?
- Hvordan sikrer vi at ISO 27001 ikke bare er en tick-box-øvelse?
- Hvordan gjøre ISO 27001 implementering mindre skremmende
1. Ressursing av implementeringen - trene, rekruttere eller anskaffe?
Med betydelig fordeler med å ha ISO 27001 sertifisering, bør du vurdere alternativene dine rundt ressurser nøye.
Utfordringen som mange virksomheter presenterer er ofte å ikke ha intern erfaring og ekspertise til å administrere ISO 27001-implementering, og disse er alternativene som vanligvis vurderes:
- Trene eksisterende personale
- Rekrutter en informasjonssikkerhetsekspert
- Engasjere konsulenter
- Bruk ISO 27001 dokumentverktøysett
- Søk programvare for styring av informasjonssikkerhet
Disse kan betraktes som frittstående eller kombinerte alternativer, avhengig av størrelsen og kompleksiteten til virksomheten din.
For mange virksomheter er det ofte en ekstern driver å være ISO 27001 sertifisert som igjen prioriterer en rask implementering. Dette kan påvirke beslutningen om hvordan ressursinformasjonssikkerhet ledelse ganske betydelig.
Informasjonssikkerhetsstyringssystem (ISMS)
Et ISO 27001-kompatibelt styringssystem for informasjonssikkerhet gir en systematisk tilnærming til å bygge et solid grunnlag for å demonstrere samsvar med eller oppnå ISO 27001-sertifisering, samt andre nasjonale og internasjonale forskrifter.
En ISMS:
- Demonstrerer din forpliktelse til informasjonssikkerhetsstyring
- Bygger inn informasjonssikkerhetsstyring som en disiplin i dine business-as-usual-prosesser
- Oppmuntrer til samarbeid og ansvarsdeling
- Styrer et veikart til implementering, drift og kontinuerlig forbedring
Et programvarebasert ISMS gir et levende sett med retningslinjer og prosedyrer i din organisasjon som er lagret sentralt, fortrinnsvis i en skybasert plattform.
Dette er grunnen til at en ISO 27001 dokumentverktøykasse kommer til kort. Selv de mest "omfattende" verktøysettene er i hovedsak Microsoft Excel- og Word-dokumenter med utilstrekkelige versjonskontrollmekanismer og ingen klare neste trinn for implementering av ISO 27001.
2. Hvordan håndterer vi forstyrrelser i virksomheten?
Når man begynner å jobbe mot en ISO 27001-sertifisering, vil utfordringen ofte være hvordan du kjører dette sammen med alt annet med minimal forstyrrelse, samtidig som du opprettholder momentum og oppnår sertifisering innenfor dine tidsskalaer.
Arbeid som et team
Du kan ikke implementere ISO 27001 alene; du må jobbe sammen som et team.
Spre ansvaret og belastningen over hele virksomheten, i stedet for å lage en informasjonssikkerhets-"silo", noe som noen ganger kan skje når en informasjonssikkerhetskonsulent blir hentet inn. Dette vil minimere forstyrrelser og reisen mot og utover ISO 27001-implementering er ofte mer effektiv og effektive.
Ikke bare dette, men selskaper som nærmer seg ISO 27001 på en gjennomtenkt og helhetlig måte, forblir sertifisert ved å demonstrere at alle opptrer riktig i sin daglige, business-as-usual-drift.
Kommuniser godt
Under ISO 27001-implementering, kommuniser tidlig, kommuniser tydelig, kommuniser kontinuerlig – ta alle med på reisen. Hvis styring av informasjonssikkerhet kommer i veien, gjør du sannsynligvis feil.
3. Hvordan sikrer vi at ISO 27001 ikke bare er en avkryssingsøvelse?
Top-down støtte
For å virkelig gjøre reisen effektiv, må en organisasjon ta i bruk en kultur endring som må drives fra toppen med buy-in fra alle toppledelsen.
Strømlinjeform med programvare
Bruk programvare for styring av informasjonssikkerhet som veileder deg gjennom ISO 27001-implementering – med maler, rammeverk og retningslinjer som du kan skreddersy.
Mellom dine ISO 27001 uavhengige revisjoner forventes det at du gjør dine egne interne revisjoner (Klausul 9.2) og handle på funnene, så bygg informasjonssikkerhetsstyring inn i forretningsprosesser ved å kontinuerlig gjennomgå og optimalisere ISMS for å sikre kontinuerlig modenhet.
Forplikte seg til sertifisering
ISO-revisorer foreslår vanligvis at ISO 27001-sertifisering kan ta seks måneder eller mer – men det finnes raskere og mer bærekraftige måter å oppnå det på.
Våre Assured Results Method (ARM) er en måte å sikre at du oppnår suksess. Metodikken vår gir en pragmatisk, risikobasert tilnærming som bygger på hvilke retningslinjer du allerede har på plass mens du planlegger for fremtidige forbedringer.
Hvor lang tid det tar for deg avhenger av målene dine. Hvis du har en stram tidsfrist, med en potensiell kundekontrakt som følger med, må du forplikte deg til en rask implementering for å høste belønninger av ISO-sertifisering.
ISMS.online gir raskere implementering av ISO 27001. Med sin handlingsdyktige ISO 27001 politikk og kontroller dokumentasjon kan du raskt ta i bruk, tilpasse og legge til, det gir en fremgang på opptil 77 % mot standarden, det minuttet du logger på.
4. Hvordan gjøre ISO 27001 implementering mindre skremmende
Selv om fordelene er spennende, kan det mildt sagt være komplekst og skremmende å takle ISO 27001 for første gang.
Ikke streb etter "perfekt sikkerhet"
Mens ISO 27001 krever kravene til hvordan informasjonsstyringssystemet ditt må implementeres og driftes, trenger det ikke å være perfekt.
En fin måte å begynne på er å dokumentere hva du gjør i dag – og du vil gjøre noen ting allerede – mens du identifiserer og registrerer forbedringer for fremtiden som vil redusere risikoen ytterligere til akseptable nivåer.
Så lenge du er det med tanke på den komparative risikoen nivåer – hvor stor risiko for ikke å implementere en kontroll mot hvor stor risiko for virksomheten ved å implementere kontrollen – du er på rett spor.
Husk, vær pragmatisk, ikke "perfekt" når du velger og dokumenterer kontrollene dine.
Hovedmålet er å sikre at sikkerhetsstyringen din er fullstendig i samsvar med ISO 27001, samtidig som du sikrer pragmatiske, effektive og effektive kontroller for å håndtere risikoene dine til et akseptabelt nivå.
