Hvem skal være med på å implementere ISO 27001?

Hva er ISO 27001?

ISO/IEC 27001:2013 – for å gi den gjeldende internasjonale versjonen sin fulle referanse – ofte referert til som ISO 27001, er den internasjonalt anerkjente standardspesifikasjonen for et styringssystem for informasjonssikkerhet (ISMS).

ISO 27001 er en del av en familie av standarder i ISO 27k-serien, som dekker et bredt spekter av informasjons- og nettsikkerhetsemner og overholdelsesveiledning.

ISO 27k-familien er i seg selv en del av en bredere familie av styringssystemstandarder basert på ISO/IEC-direktivene del 1 (11. utgave 2020) Vedlegg SL, som definerer et felles rammeverk for styringssystem.

Den er designet for å muliggjøre et risikofokusert forretningsstyringssystem som støtter beskyttelse av informasjonskapasitet i enhver form – for eksempel innenfor IT-systemer, på papir eller digitale medier, og til og med i folks hoder. Det er ikke ment å brukes som en teknisk sikkerhetsstandard.
Standarden inneholder:

• De obligatoriske "kravene" (ofte kjent som "styringssystemklausulene") som følger ISO-direktivene del 1 vedlegg SL-rammeverket; og
• Vedlegg A – et eksempel på risikovalgbare kontroller som vanligvis brukes for å redusere risikoen til et tolerabelt nivå.

Finn ut mer om kjernekravene til ISO 27001 og vedlegg A-kontrollene du kan velge å implementere her..

Hvorfor er ISO 27001 viktig?

Alle organisasjoner oppretter, administrerer og distribuerer informasjon, og all informasjon har en verdi. Implementering av et internasjonalt anerkjent styringssystem for informasjonssikkerhet vil bidra til å beskytte verdien og gi betydelige forretningsfordeler og avkastning på investeringen.

Slike fordeler kan omfatte:

• Evnen til å operere i regulerte markeder som etterspør påviselig informasjonssikkerhet.
• Muligheten til å bruke akkreditert sertifisering som en kritisk differensiator for å vinne nye forretninger.
• Reduksjon i driftskostnader ved å fokusere på sikkerhetskontroller der det virkelig er behov for det redusere kritiske risikoer og effektivisere administrasjonsprosesser for informasjonssikkerhet.
• Reduksjonen i kostnader knyttet til å reagere på informasjons- og cybersikkerhetshendelser.
• Lettere påviselig etterlevelse av lov og forskrift og reduksjon av potensielle straffer for brudd Av sånn.

Hvilke roller kreves for å implementere ISO 27001 Information Security Management System?

Mens ISO 27001 ikke spesifiserer nødvendige roller; flere grunnleggende ansvarsområder må tildeles for å sikre at ISMS stemmer overens med organisasjonens kultur og natur og dens forretningsdrift og håndterer informasjonsrisikoer til et akseptabelt nivå.

Begrepet "interessenter" betyr forskjellige ting for forskjellige mennesker, og ofte vil du høre om primære, sekundære og til og med tertiære interessenter, direkte og indirekte interessenter. ISO-styringssystemstandardene snakker ikke om interessenter, men snarere "interesserte parter", men dette betyr ikke at du ikke vil ha interne interessenter for ISMS.

Primære interessenter

Ettersom ISO 27001 først og fremst er en standard for forretningsstyringssystem, må dine primære interessenter sitte på det øverste ledelsesnivået – dette handler tross alt om å beskytte virksomheten din!

Dere, primære interessenter, vil sannsynligvis inkludere:

• "C" eller representasjon og sponsor på hovedstyrenivå.
• Senior risikointeressenter – muligens en Senior Information Risk Officer (SIRO) eller lignende rolle ansvarlig for å overvåke all forretningsrisiko, som informasjonsrisiko er en del av.
• En person eller et team ansvarlig for ISMS - muligens en sjef Information Security Officer (CISO), Information Security Manager (ISM) eller lignende, som passer inn i organisasjonens kultur og terminologi og dens eksisterende struktur.
• En "lead implementer" eller lignende nominert ressurs ansvarlig for å administrere implementeringen av ISMS.

Sekundære interessenter

Sekundære interessenter vil være de som vil være ansvarlige for en del av ISMS. Dette vil inkludere fagrepresentanter fra hele organisasjonen og muligens partnere og til og med leverandører.

Listen over sekundære interessenter vil bli bestemt av størrelsen og arten til organisasjonen din, men kan omfatte:

• Informasjons- og cybersikkerhetsspesialister som er relevante for din organisasjons virksomhet.
• IT-sikkerhet og teknisk ressurs.
• HR representasjon.
• Fysisk sikkerhet representasjon – evt. «Facilities» eller lignende
• Juridisk og compliance representasjon
• Internrevisjon
• Representanter fra forretningsavdelinger som er ansvarlige for dine kritiske forretningsprosesser – ISMS må jobbe med disse, ikke bli en blokkering. Så det å engasjere bedriftsledere på tvers av organisasjonen vil være grunnleggende for å oppnå dette.
• Representanter fra leverandører eller samarbeidspartnere som har tilgang til organisasjonens informasjon.

Lead implementer rolle definert

"Lead Implementer"-rollen er den enkelte som er ansvarlig for å føre tilsyn med ISMS-implementeringen og må som sådan være en person med kunnskapen og kompetansen som kreves for oppgaven.

De må forstå ISO 27001-standarden og tilhørende veiledningsstandarder fra samme familie. De vil også trenge å kjenne til nøkkelprosessene for implementering, drift, overvåking og forbedre ISMS for å sikre at ISMS er effektivt.

Tradisjonelt er dette enten "kjøpt inn" i form av en spesialistkonsulent eller "bred-in" ved å sende en eller flere eksisterende medarbeidere på et ISO 27001 ledende implementeropplæringskurs. Begge disse er vanligvis dyre alternativer.

ISMS.online-plattformen gir flere verktøy som bidrar til å fylle kunnskaps- og kompetansegapet som bidrar til å redusere eller eliminere behovet for slike utgifter. Disse inkluderer:

• Vår handlingsbart innhold – dokumenterte retningslinjer og kontroller som du enkelt kan ta i bruk, tilpasse eller legge til, og det betyr at du kan ha opptil 77 % av dokumentasjonen du trenger fra dag 1.
• Vår "Assured Results Method" (ARM) – som er et veikart laget av fageksperter som leder deg gjennom implementeringen av ISMS logisk og effektivt.
• Forhåndsbygde verktøy – som vårt risikoregister som inkluderer:
  • En prøvebank på over 100 vanlige informasjonssikkerhetsrisikoer,
  • Våre interessenter kart,
  • Våre spor for håndtering av hendelser, korrigerende handlinger og forbedringer,
  • Og vårt juridiske og forskriftsmessige register, som inneholder typisk relevant lov og forskrift.
• Vår "Virtuell trener" – et valgfritt tillegg som gir ekspertråd og veiledning gjennom innholdskoblede kontekstuelle video-, lyd- og tekstforklaringer.

Finn ut hvordan vår mer om hvordan ISMS.onlines forenklede, sikre og bærekraftige plattform kan passe for dine behov her..

Toppledelse

"Alt starter på toppen" – ISO 27001 er først og fremst et forretningsstyringssystem designet for å administrere beskyttelsen av en organisasjons informasjonsressurser og redusere informasjonsrisikoen til et akseptabelt nivå.

Uten støtte fra toppledelsen er det lite sannsynlig at implementeringen og driften av ISMS vil være vellykket, effektiv eller effektiv.

ISO 27001 definerer noen grunnleggende klausuler som er toppledelsens ansvar, Inkludert:

• 5.1 Ledelse og engasjement – Toppledelsens forpliktelse til integrering av informasjonssikkerhet i organisasjonen og dens prosesser
• 7 Support – tilveiebringelse av tilstrekkelig og kompetent ressurs for ISMS
• 9.3 Ledelsens gjennomgang – en forpliktelse for den øverste ledelsen til å vurdere effektiviteten til ISMS på minst en årlig basis

Informasjonssikkerhet / Governance Staff

Grunnleggende for vellykket implementering og drift av ISMS vil være informasjonssikkerhets- og styringspersonalet som har til oppgave å ha ISMSs overordnede ledelse og dets komponenter.

Dette er vanligvis ansatte hvis primære rolle er fokusert på informasjonssikkerhet og styring. Men hvis organisasjonen din er liten, er dette sannsynligvis en person som også har en annen dagjobb.

ISMS.online-plattformen kan bidra til å gi kunnskap, kompetanse og tillit der ressurser på ekspertnivå ikke er tilgjengelige, og sikre at ISMS ikke blir en tyngende overhead.

IT-avdeling eller leverandør(er)

Ettersom mye informasjon lagres, behandles og overføres på eller gjennom IT-systemer, nettverk og applikasjoner, vil det være behov for å sikre at hensiktsmessig interaksjon med IT-avdelinger og/eller leverandører bygges inn i ISMS på et tidlig stadium.

Mange av kontrollene som vil bli implementert for å beskytte informasjonsmidlene dine, vil være tekniske kontroller designet, utviklet, implementert og drevet av din IT-avdeling eller -leverandører.

Å administrere forventningene og ansvarsfordelingen for de tekniske aspektene ved informasjon og cybersikkerhet vil være avgjørende for å lykkes med ISMS.

Internrevisor(er)

ISO 27001, som med alle ISO-styringssystemstandardene, krever at en organisasjon har et program med interne revisjoner for å verifisere den effektive driften av ISMS og dens evne til å redusere informasjonsrisikoen til et akseptabelt nivå.

Som et minimum må ISMS-styringsklausulene (4-10) revideres årlig, og vedlegg A kontroller revideres innen sertifiseringsperioden (3 år for UKAS-akkrediterte sertifiseringer).

Valg av internrevisor skal sikre objektivitet – det vil si at du ikke kan revidere eget arbeid – og kompetanse – revisor må ha kunnskap og kompetanse til å gjennomføre revisjonen.

Vår Virtual Coach-tjeneste leveres forhåndsbygd med alt du trenger å vite om interne revisjoner eller les vår forenklet veiledning til ISO 27001:2013 Internrevisjon med veiledning og ideer om hvordan du kan nå målet ditt.

Data Protection Officer

De Data Protection Officer er vanligvis ansvarlig for å sikre riktig administrasjon, bruk og beskyttelse av personlig identifiserbar informasjon (PII) i organisasjonen. Slik informasjon vil forholde seg til en organisasjons ansatte, og ofte til dens kunder.

Dette ansvaret inkluderer helt klart å sikre at tilstrekkelig informasjon og cybersikkerhetskontroller og prosesser er på plass for å beskytte denne typen informasjon.

Rollen som databeskyttelsesansvarlig er ikke spesifisert eller mandat innenfor ISO 27001, men annen relevant lovgivning og forskrifter som UK Data Protection Act (2018) og Generell databeskyttelsesforordning (GDPR) krever en rolle av denne art. I tillegg innebærer samsvar og andre kontroller innenfor ISO 27001 sterkt behovet for en slik rolle.

Hvem skal revidere vårt ISMS for ISO 27001-sertifisering?

Hvis du ønsker å oppnå anerkjent og respektert sertifisering for ditt ISMS – nødvendig for å få maksimalt utbytte av det – du må engasjere et ISO 27001 akkreditert sertifiseringsorgan for å utføre de nødvendige revisjonene for sertifisering.

Hva er ISO 27001-sertifiseringsorganer?

Sertifiseringsorganene gir revisorer ferdigheter, kunnskap og kompetanse til å gjennomføre sertifiseringsrevisjonene og sikre at sertifiseringer er akkreditert til et konsistent nivå.

Slike organisasjoner er vanligvis oppført på nettstedet til det territorielle akkrediteringsorganet. I Storbritannia er akkrediteringsorganet United Kingdom Accreditation Service (UKAS), og de fører tilsyn med de akkrediterte sertifiseringsorganene i Storbritannia.

Hvor lang tid vil det ta å bygge ISMS?

Som med ethvert betydelig prosjekt, vil tiden det ta vil avhenge av hva som må gjøres og kapasiteten og kompetansen til ressursene som stilles til rådighet for å gjøre det.

For ISO 27001 er "hva som må gjøres" godt definert innenfor standarden, og ressursene som gjøres tilgjengelig vil bli bestemt av din organisasjon.

Vanligvis, for en liten til mellomstor organisasjon med noen forhåndseksisterende retningslinjer og kontroller, kan det å bygge et ISMS ta alt fra 6 måneder til et år (avhengig av ressursnivåer). Noen ganger er det enda lenger hvis tilgjengelige ressurser må dele tiden sin på andre jobber. Et 150-dagers (heltidsekvivalent) prosjekt er ganske vanlig.

De ISMS.online plattform kan bidra til å redusere ressursnivået betraktelig. Avhengig av hvor mye av det handlingsrettede innholdet du kan ta i bruk eller enkelt tilpasse, kan byggingen av ISMS reduseres med så mye som 75 % eller 80 %. Noen kunder kan gå fra en stående start til å være klare til å starte sertifiseringsrevisjonsprosessen innen 6 uker.

Hvor lang tid vil det ta å få ISO 27001-sertifisering?

Når ISMS-en din er bygget, skjer sertifiseringsrevisjonsprosessen i to stadier med en forløpt tidsramme på 2 måneder som vanlig. Vanligvis er to-trinns prosessen:

• Trinn 1 revisjon – ISMS dokumentasjonsgjennomgang
• Periode for korrigerende tiltak - vanligvis 4-6 uker mellom de to stadiene for å tillate en organisasjon å iverksette korrigerende handlinger som oppstår fra trinn 1-revisjonen
• Trinn 2 revisjon – Bevislig "sertifiseringsrevisjon".
• Gjennomgang av sertifiserings- og akkrediteringsorgan – vanligvis 2-4 uker. Sertifiseringsorganet vil peer review revisjonen internt og sende revisjonen til UKAS som eventuelt kan prøve revisjonen for gjennomgang.

Hvordan velger jeg et sertifiseringsorgan?

Mange faktorer vil påvirke ditt valg av sertifiseringsorgan.

Den viktigste av disse vil være å sikre at sertifiseringsorganet er akkreditert. Det er mulig å få ikke-akkreditert sertifisering. Dette vil imidlertid ha begrenset integritet og verdi. Vi anbefaler på det sterkeste at du ikke går denne ruten.

Hvis du allerede har andre sertifiseringer, for eksempel:

• ISO 9001 (kvalitetsstyring)
• ISO 14001 (miljøledelse)
• ISO 45001 (arbeidsmessig helse og sikkerhet)*

Du vil sannsynligvis henvende deg til ditt eksisterende sertifiseringsorgan først for å se om de også er akkreditert for ISO 27001.

*merk - hvis du allerede har sertifiseringer til andre styringssystemstandarder, kan du ha nytte av å integrere disse i en enkelt "Integrert styringssystem" – og ISMS.online-plattformen kan bidra til å oppnå dette.

Hvilke ressurser trenger jeg for implementering av ISO 27001?

Vi har identifisert flere roller ovenfor som vil være involvert i implementeringen av ISMS, men i hovedsak trenger du:

• Kompetent ressurs (som en ledende implementer) – med kunnskap om standarden – kan ISMS.online-plattformen gi mye av den nødvendige kompetansen gjennom sitt forhåndsbygde innhold og verktøy.
• Kapasiteten til andre ressurser – for eksempel fagrepresentanter fra IT, Juridisk, Fasiliteter, Senior Management og forretningsavdelinger.

Det er en viktig del av planleggingen av ISMS-implementering at du vurderer kompetanse, kapasitet, tillit og disiplinkrav til ressursene dine hvis du ønsker å oppnå vellykket, effektiv og effektiv implementering innen en rimelig tidsramme.

Forutsatt at vi får sertifisering, hvilke ressurser trenger vi for vedlikehold?

Et sertifisert ISMS er en kontinuerlig reise, ikke en destinasjon. Som sådan vil det kreve et visst ressursnivå for å opprettholde det. Jo mer et ISMS er integrert i organisasjonens daglige prosesser, og jo mer forent ansvaret er, jo mindre overhead vil det være.

Utover de integrerte kontrollaspektene til ISMS, må du sørge for at de kritiske prosessene til ISMS drives:

• Risikostyring – regelmessig gjennomgang av risikoer for å sikre at behandlingene forblir tilstrekkelige og forholdsmessige.
• Internrevisjon – den pågående driften av et internrevisjonsprogram som dekker hele standarden, minst innenfor sertifiseringsperioden (3 år for en UKAS-akkreditert sertifisering), og oftere reviderer de områdene med essensiell drift eller risiko.

• Gjennomgang av ledelsen – en toppledelsesgjennomgang av ISMS på minst en årlig basis for å sikre effektiviteten og effektiviteten til ISMS for å oppnå de forretningsledede målene som er satt for informasjonssikkerhet.
• Korrigerende tiltak og kontinuerlig forbedring – prosesser for å sikre at ISMS kontinuerlig forbedres over tid og avvik korrigeres innen rimelig tid.

Hva må vi gjøre når standarden er oppdatert?

Dette vil avhenge av oppdateringens art. Alle ISO-standarder for styringssystem blir sett og oppdatert med jevne mellomrom.

Dersom standarden i stor grad blir funnet å være hensiktsmessig, kan det hende at det kun gjøres mindre oppdateringer i ordlyden.

Noen ganger blir imidlertid standarden omarbeidet av en eller annen grunn. Dette resulterer i en større oppdatering som kan kreve en "overgang" revisjon fra én versjon av standarden til den nye.

Sist gang en større omstrukturering av ISO 27001 skjedde var i 2013 (endringen fra 2005-versjonen til 2013-versjonen). Siden dette var en større overhaling, ble det gitt en 2-års overgangsperiode til organisasjoner.

Fordi en slik endring kan skape store mengder arbeid og kostnader for mange organisasjoner, prøver ISO å unngå slike betydelige endringer der det er mulig.

Uansett hva oppdateringene er, bør sertifiseringsorganet gi deg beskjed om hva du trenger å gjøre.

Vær trygg, vi vil oppdatere ISMS.online-plattformen for å gjenspeile standardens gjeldende versjon når dette skjer.

Hva om bedriften min endrer produktene/tjenestene vi tilbyr?

Avhengig av hvor betydelige endringene er, kan du kreve en ekstraordinær revisjon av sertifiseringsorganet for å sikre at sertifiseringen din dekker de nye produktene og tjenestene innenfor ISMS-omfanget.

Det er imidlertid vanlig at sertifiseringsorganet vil kombinere denne revisjonen med en periodisk overvåkingsrevisjon eller ved din neste resertifiseringsrevisjon.

Det er viktig å merke seg at dine nye produkter eller tjenester kanskje ikke dekkes av din eksisterende sertifisering før bekreftelse fra sertifiseringsorganet er gitt.

Hva om vi åpner et nytt kontor i et fremmed land?

Som med endringer i produkter/tjenester ovenfor, vil du sannsynligvis kreve en viss grad av ekstra revisjon fra sertifiseringsorganet ditt for å bekrefte at virksomheten din i det nye landet er dekket innenfor sertifiseringens omfang.

En avgjørende faktor å vurdere for å utvide ISO 27001 til å omfatte virksomhet i nye land, er at det nesten helt sikkert vil være forskjellig informasjonssikkerhetslovgivning og -regulering å vurdere.

Hvilken avdeling skal "eie" ISMS?

Det finnes ikke noe riktig eller galt svar på dette spørsmålet, og det vil være helt avhengig av strukturen i organisasjonen din og dens kultur. Det er imidlertid noen viktige punkter å vurdere:

• ISO 27001 er en standard for forretningsstyringssystem – så det kan være best å plassere eierskap i en tverrvirksomhetsavdeling, for eksempel Risk eller Compliance.
• Eierskap kan plasseres innenfor IT. Dette kan imidlertid ofte føre til at informasjonssikkerhet blir et IT-problem og kan gå glipp av standardens forretningsledede aspekter.
• ISMS kan plasseres innenfor en "Informasjonssikkerhet"-spesifikk avdeling, men dette kan ha en tendens til å føre til at aktiviteten blir "siloer", samhandler dårlig med den bredere virksomheten eller blir sett på som en "politistruktur" som raskt blir sett på som en blokker i stedet for en aktivator.

En god måte som kan fungere for mange organisasjoner er at eierskapet er på organisasjonens toppnivå. ISMS-operasjonen kan forenes på tvers av organisasjonen, men koordineres av en ledende ressurs, for eksempel en CISO eller informasjonssikkerhetssjef.

Hvordan kan ISMS.online hjelpe meg å implementere ISO 27001 raskere?

Ved å avmystifisere ISO 27001 og tilnærmingen til å implementere en ISMS, kan ISMS.online-plattformen akselerere implementeringen din ved å fokusere innsatsen på rett sted til rett tid.

I tillegg, ved å tilby en alt-i-ett-sted ISMS-løsning, kan betydelig tid spares ved å slippe å søke rundt etter flere verktøy, sette opp komplekse dokumentasjonslager og implementere nye prosesser – disse er i orden fra dag 1.

ISMS.online-plattformen kan bidra til å redusere tiden som kreves for å implementere en ISMS betydelig ved å gi deg alt du trenger for å oppnå ISO 27001-sertifisering første gang.

Hvordan gjør ISMS.online implementere ISO 27001 enklere?

ISMS.online-plattformen avmystifiserer ISO 27001 og implementerer og driver en ISO 27001-kompatibel og sertifisert ISMS. Med denne og kontekstualiserte informasjonen på rett sted, vil ISMS.online-plattformen hjelpe deg med å enkelt ta i bruk, tilpasse eller legge til eksempelinnholdet vårt, og gjøre reisen din til sertifisering mye enklere.