Våre beste tips for førstegangssuksess i ISO 27001 trinn 2

Hvis du går for ISO 27001-sertifisering, vil din Stage 2-revisjon være et av de store knusepunktene. Du må vise at ISMS er mer enn bare velskrevne dokumenter og generelle gode intensjoner. Det må fungere like bra i praksis som det gjør på papiret.

Gjennom årene har vi hjulpet mange kunder med å oppnå førstegangssuksess i trinn 2. Og noen av våre ISO 27001 eksperter har selv vært sertifiseringsorgansrevisorer, så vi kjenner prosessen veldig godt fra begge sider. Vi har trukket på det for å dele våre:

  • Stage 2 revisjon topp tips
  • ISO 27001 sjekkliste for startere for ti

Sørg for å dekke av alt det viktigste

Din revisor vil se på alle deler av ISMS. De vil fokusere spesielt på kjernekomponentene. Hvis de ikke er opp til bunnen av, vil de ikke anbefale deg for sertifisering. Så når du forbereder deg til revisjonen, vær spesielt nøye med å dekke av:

Risikostyring

For at infosec-forsvaret ditt skal fungere, må du forstå hva du beskytter deg mot. Så gå gjennom din risikostyring innhold og prosesser med en fin tannkam.

Pass på at du har:

Kapitalforvaltning

Din ISMS ser både innover og utover. Revisoren din må se at du forstår nøyaktig hva du beskytter. Så dobbeltsjekk at du har tatt opp og forstått alt informasjonskapasitet.

Husk at organisasjonen din informasjonsressurser er mer enn bare IT-programvaren og maskinvare. Listen kan inneholde alt fra kunde og leverandør til kontrakter til immaterielle eiendeler som merkevaren din og omdømmet ditt. Sørg for at du har inkludert alt!

Incident management

Revisoren din kontrollerer at ISMS fungerer i praksis. Så de må se at du og kollegene dine vet nøyaktig hva de skal gjøre når det verste skjer og – eh – sukkeret treffer viften.

Du må være helt sikker på at din hendelsesadministrasjon prosessene er opp til bunnen av. Det betyr å feste:

  • Når og hvordan de utløses
  • Hvem gjør hva, når, ettersom en ny hendelse skjer
  • Hvordan du registrerer og lærer av responsen din på hver hendelse, slik at du kan:
    • Forbedre ISMS
    • Sørg for at eventuelle gjentakelser har mindre eller til og med ingen innvirkning

Riktig seng i din ISMS

Din revisor må se at ISMS fungerer i praksis. For å være sikker på at det er tilfelle, la det gå litt. Gi deg selv litt tid og plass til å bygge tillit til ISMS før du viser det til revisor.

Du vil bygge selvtillit på to måter. Delvis vil det komme naturlig når du overvåker ISMS, ser hva som fungerer og korrigerer det som ikke fungerer. Men du bør også krysse av for noen mer formelle bokser. Sørg for at du har utført:

  • En eller fler interne revisjoner og gjennomgang av styringssystem
  • Passende personalutdanning og engasjementsaktiviteter

Den andre kulen er spesielt viktig. En ISMS er bare effektiv når folk forstår og overholder den. Så sørg for at folk vet:

  • Hva det er til
  • Hvorfor det betyr så mye
  • Hvilke retningslinjer og kontroller de må følge
  • Nøyaktig hvordan du følger dem

Sørg for at ISMS-en din gjør reelle endringer

Organisasjoner oppretter ISMS-er fordi de ikke er sikre nok uten dem. Å bli sikker betyr å endre deres tilnærming til sikkerhet. Det skaper en veldig enkel måte å sjekke for å se om ISMS-en din er revisjonsklar. Spør deg selv:

Har noe egentlig endret seg?

En effektiv ISMS vil skape synlige, praktiske endringer i hvordan organisasjonen din fungerer. Disse endringene vil påvirke både interne og eksterne prosesser og relasjoner. De burde være veldig tydelige for deg.

Hvis ISMS har skapt praktiske, positive, åpenbare endringer, er det ett skritt nærmere å være klar for revisjon. Men hvis det bare er rebadged din eksisterende sikkerhetssystemer, du har sannsynligvis mer å gjøre.

Ikke bekymre deg for at nedstengninger påvirker revisjonen din

Trinn 2 revisjoner har alltid vært dyptgående og på stedet. Det er vanskelig i vår moderne, Covid-infiserte verden. Men ikke la det bekymre deg.

Sertifiseringsorganer er veldig klare på at revisjonsprosessen skal fortsette som normalt uavhengig av en organisasjons lockdown-status. De vil gjerne revidere organisasjonen din eksternt og samarbeide med deg om det overvinne eventuelle utfordringer.

Fjernrevisjon gjør det enda viktigere å ha en fullstendig gjennomsiktig, lett tilgjengelig, alt-i-ett-sted ISMS, som (vi føler vi bør nevne) den ene plattformen vår kan hjelpe deg med å lage. Og hvis du allerede er med oss, er det det du allerede har.

Ikke stopp når trinn 2-revisjonen er ferdig

«Mange organisasjoner består revisjonen, feirer alt det harde arbeidet deres og... glemmer i grunnen alt om ISMS. Alle går tilbake til hverdagen sin. Så, ti måneder eller så senere, er det stor panikk når de må gjøre seg klare til sin første vedlikeholdsrevisjon.

En ISMS er ikke et brann-og-glem-system. For å opprettholde ISO 27001-sertifiseringen, må den:

  • Lær av eventuelle infosec-hendelser
  • Utvikle seg etter hvert som overordnet organisasjon vokser og endrer seg
  • Ta hensyn til eventuelle nye infosec-trusler og utviklinger

Vi sier ofte at vedlikehold av ISMS er like mye av en utfordring som å få den i gang. Sørg for at det er en utfordring du er klar for!

Følg vår start-for-ti sjekkliste ISO 27001

Vi har gitt deg noen generelle tips om hvordan du gjør deg klar for trinn 2-revisjonen. Vi skal avslutte med noen spesifikke veiledninger. Denne tabellen er en start-for-ti-veiledning for å sjekke ISMS-en din mot ISO 27001-standard. Det vil hjelpe deg å fokusere mens du tenker gjennom hver del av den.

 

ISO 27001 Ref & Beskrivelse

Klausul 10.1

Har alle funnene fra trinn 1-revisjonen blitt logget, administrert og sporet?

Har alle større avvik blitt rettet til fullføring?

Er mindre avvik enten lukket eller på sporet i henhold til deres korrigerende handling plan?

Klausul 5

Fungerer alle planlagte prosesser på en rettidig måte for å vise tilstrekkelige ressursnivåer?

Klausuler 6.1, 8.2 og 8.3

Viser risikoregisteret ditt et nøyaktig nåværende bilde av risikonivåer (dvs. du oppdatering av risiko mot endring og forbedringer av risikobehandling)?

Klausul 6.2

Er du nå dine informasjonssikkerhetsmål?

Klausul 7.2

stenger du noen informasjonssikkerhet kompetansehull?

Klausul 7.3

Betjener du informasjonssikkerheten bevissthet programmet du har beskrevet?

Klausul 9.1

Har du tatt og vurdert din ISMS ytelsesmålinger?

Klausuler 9.2, 10.1 og 10.2

Har du fullført minst to interne revisjoner fra revisjonsplanen?

Logget, sporet og administrerte du alle funnene dine?

Du trenger ikke nødvendigvis å fullføre funn som krever betydelig forbedring, men du trenger å vise at handlingen er planlagt eller er i gang.

Klausuler 9.3, 10.1 og 10.2

Har minst én formell ISMS Gjennomgang av ledelsen skjedd i henhold til standardens krav?

Har du logget, sporet og administrert alle funn?

Vedlegg A kontroller

Kan du vise bevis på at du driver hver kontroll og relevant prosess effektivt?

Hvor du trenger å gjøre forbedringer, kan du vise at du sporer og administrerer dem?

A.16. Informasjonssikkerhet hendelseshåndtering

Kan du vise at når hendelser finner sted, logger du, sporer, administrerer og reagerer på dem over tid?

Avslutter... og lykke til!

Vi har tenkt mye på trinn 2-revisjonen fordi vi har bygget plattformen vår for å hjelpe våre kunder gjennom det. Faktisk, hver kunde som har fulgt vår Metode for sikrede resultater har bestått oppnådd sertifisering på første forsøk.

Og du trenger ikke starte alt på nytt. Det er enkelt å migrere det eksisterende arbeidet ditt til plattformen vår. Du kan flytte på tvers når det passer deg, selv om du har fullført trinn 1-revisjonen eller faktisk har gjort det oppnådde ISO 27001 sertifisering.

Og det er det. Hvis dette blogginnlegget hjelper deg gjennom trinn 2-revisjonen, gi oss beskjed – vi elsker å høre hvordan organisasjoner kommer videre med det. Det gjenstår bare for oss å ønske deg lykke til! Vi er sikre på at alt ditt harde arbeid vil lønne seg.

 

Er du klar for å se hvordan vi kan hjelpe deg til første gangs trinn 2 suksess?

Bestill en demo uten strenger for å se plattformen vår i aksjon. Og vi er overraskende rimelige. Du kan få ditt tilbud her.

« Hvordan gjennomføre ISO 27001 Management Review

5 beste tips for å oppnå ISO 27001-sertifisering »

Sist redigert: 7. februar 2022
Forfatter

Al Robertson

Al er en profesjonell forfatter og publisert forfatter som dekker en rekke emner. Han har skrevet en rekke artikler om compliance og spesielt om informasjonssikkerhet og hvordan ISO 27001-sertifisering kan hjelpe organisasjoner med å vokse.

Se alle innlegg av Al Robertson

Relaterte innlegg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer