Kuinka 4way Consulting tasoitti tietä ISO 27001 -menestykseen

4way Consulting tarjoaa teknologiaan liittyvää konsultointia ja tukea parantaen liikennepalvelujen turvallisuutta, luotettavuutta ja saavutettavuutta Isossa-Britanniassa. Yritys tukee paikallis- ja keskushallintoja liikenneverkkojen hallinnassa teknologian käyttöönoton avulla. Noin 45 hengen tiimi työskentelee pääasiassa Manchesterissa ja Birminghamissa.

4way Consulting -tiimi halusi ottaa käyttöön ISO 27001 -standardin tietoturvallisuuden hallintaan täydentääkseen olemassa olevaa ISO 9001 -laatusertifikaattiaan.

He harkitsivat myös ISO 45001 -standardin käyttöönottoa työterveys- ja työturvallisuusjohtamisessa, koska yrityksellä oli olemassa työterveys- ja työturvallisuusjärjestelmä, joka sisälsi materiaalia, jonka pohjalta he pystyivät rakentamaan vaatimustenmukaisuuttaan. Koska yritys käsitteli arkaluonteisia tietoja, ISO 27001 -sertifiointi oli ratkaisevan tärkeä osoittamaan, että 4way Consulting sovelsi tietoturvan parhaita käytäntöjä. He tarvitsivat tavan toteuttaa standardi strategisesti ja säästää sekä aikaa että resursseja.

”Meidän piti selvittää kustannus- ja aikatehokkain tapa saavuttaa sertifiointi”, sanoi Ian Pengelly, 4way Consultingin digitaalitekniikan tekninen johtaja. Yksi vaihtoehto, jota Ian ja tiimi harkitsivat, oli rakentaa tietoturvallisuuden hallintajärjestelmä (ISMS) tyhjästä. Vaihtoehtona oli ottaa käyttöön sisaryrityksen käyttämä SharePoint-pohjainen järjestelmä. Kumpikaan näistä vaihtoehdoista ei tarjonnut tiimin tavoittelemaa tehokkuutta tai keskittämistä.

4way Consulting -tiimi käytti IO-alustaa ISO 27001 -standardin käyttöönottoon ja on parhaillaan ISO 45001 -standardin käyttöönotossa sekä olemassa olevan ISO 9001 -hallintatyönsä siirtämisessä alustalle. 

Tiimi käytti 11-vaiheista Assured Results Method (ARM) -menetelmää ISO 27001 -standardin noudattamisen edistämiseen sekä räätälöi alustan valmiita käytäntö- ja valvontamalleja.

Yritys käytti myös alustan riskirekisteriominaisuutta luodakseen yhteenvedon ISO 27001-, ISO 45001- ja ISO 9001 -standardien mukaisesti. He loivat IO-alustan sisälle uuden klusterin, joka linkitti sen standardien riskirekistereihin. Tämä tarjosi konsolidoidun riskirekisterin, joka voitiin sitten suodattaa alas korkeimman pistemäärän riskeihin ja käyttää yrityksen riskirekisterinä. Tämä mahdollisti myös johtotiimille näiden riskien arvioinnin ja käsittelyn useammin.

Intuitiivinen IO-alusta tuki yritystä myös riskien, varojen ja kontrollien yhdistämisessä ja selkeytti sitä, miten 4way Consulting hallitsi riskejä standardien vaatimusten mukaisesti.

Lisäksi työntekijöiden tietoisuus ja sitoutuminen ovat ratkaisevan tärkeitä ISO-standardien jatkuvan noudattamisen kannalta; 4way Consulting räätälöi työntekijöiden oppimiseen liittyvän lähestymistapansa IO-alustan käytäntöjensä ja menettelytapojensa perusteella.

He jakoivat dokumentaationsa työntekijöiden kanssa, jotka allekirjoittivat vahvistusasiakirjan varmistaakseen, että he olivat lukeneet ja ymmärtäneet jokaisen asiakirjan. Samalla he saivat antaa palautetta osa-alueista, joilla he tarvitsivat lisäselvityksiä. Näin he pystyivät kirjaamaan palautteen, päivittämään asiakirjoja ja seuraamaan versioita IO-alustalla, mikä tarjosi lisätodisteeksi työntekijöiden sitoutumisesta ja tuki heidän sertifiointiaan.

Yritys kehittää myös oppimisen hallintajärjestelmäänsä (LMS) interaktiivisella videosisällöllä, joka mahdollistaa lisäpalautteen antamisen, seuraa työntekijöiden sitoutumista ja voidaan kirjata todisteeksi vaatimustenmukaisuudesta.

4way Consulting saavutti ISO 27001 -sertifikaatin 17 kuukaudessa, vaikka tiimi arvioi, että tämä olisi kestänyt noin 10 kuukautta, jos resursseja olisi ollut enemmän saatavilla.

Ian kertoo, että alustan helppokäyttöisyys johti virtaviivaisempaan auditointiprosessiin:

ISO-standardit vaativat jatkuvaa parantamista, joten tiimi keskittyy ISO 27001 -standardin noudattamisen hiomiseen, riskien ja kontrollien säännöllisiin tarkasteluihin sekä yrityksen riskirekisterin arviointiin. IO-tiimi jatkaa 4way Consultingin tukemista Ianin ja tiimin kypsentäessä heidän tietoturvallisuuden hallintajärjestelmäänsä (ISMS) ja valmistellessa seuraavia askeleitaan: lisäISO-sertifiointeja.

Ian ja 4way Consulting -tiimi jatkavat ISO 45001 -standardin käyttöönottoa työterveys- ja työturvallisuusjohtamisessa.

He jatkavat myös ISO 9001 -laadunhallintajärjestelmänsä siirtämistä IO-alustalle. Tiimi luo myös koulutusvideoita oppimis- ja kehitystiimin avulla tukeakseen työntekijöiden perehdytysprosessia, ylläpitääkseen työntekijöiden nykyistä tietoisuutta ja varmistaakseen, että toimittajat noudattavat 4way Consultingin tietoturvavaatimuksia.