5 parasta vinkkiä ISO 27001 -sertifikaatin saavuttamiseen
Seuraa tuote- ja palvelupäällikkömme Sam Petersin suunnittelemaa polkua suoraviivaiseen matkaan sertifioinnin menestykseen.
Aloita aina suunnitelmasta
ISO 27001 -sertifiointiprosessi voi olla varsin monimutkainen ja haastava. Sinun on pidettävä paljon lautasia pyörimässä. Joten ennen kuin aloitat, tarvitset toteutussuunnitelman, joka vie sinut kaiken läpi. Kysy itseltäsi kysymyksiä, kuten: Kuinka otamme käyttöön ISO 27001:n? Mitä meidän tulee ajatella kussakin vaiheessa tarkastusprosessi? Millainen työmäärämme on ja milloin haluamme saavuttaa sen? Sinulla pitäisi olla hyvä käsitys siitä, mitä haluat ja tarvitset saavuttaa ennen sertifiointia, sen aikana ja jopa sen jälkeen.
Käsittele sitä liiketoiminnan parantamisena
Mukana on paljon ISO 27001. Sen näkeminen liiketoiminnan parantamiseen tähtäävänä harjoituksena useiden ruutujen valitsemisen sijaan auttaa sinua ymmärtämään kaiken ja sitoutumaan siihen. Se voi auttaa sinua luomaan liiketoimintaprosesseja ja lähestyy jäsennellymmin, harkitummin. Olemme nähneet valtavia parannuksia omassa liiketoiminnassamme sen ansiosta. Et saa siitä yhtä paljon irti, jos lähestymistapasi on: "Teen tämän vain täyttääkseni nämä." vaatimukset standardeista”.
Tuo organisaatiosi mukaasi
Kaikkien on ymmärrettävä ja seurattava sinua infosec-käytännöt ja säätimet. Organisaatiosi ihmiset ovat sen suurin turvallisuusvahvuus. Mutta vain jos varustat heidät kaikella, mitä he tarvitsevat pätevä ja kykenevä. Ja tarvitset johtajuuden sisäänoston, se on keskeinen osa standardia. Itse asiassa se on auditoitu osa standardia.
Joten käytäntösi ja valvontasi eivät voi olla liian teknisiä. Heidän on kerrottava ihmisille, joilla ei ole aavistustakaan teknisistä asioista, mitä heidän on tehtävä ja miksi se on niin tärkeää. Ja ylempien esimiestesi on osallistuttava siihen kaikkeen ja allekirjoitettava se kaikki. Mitä helpommin teet sen noudattamisen, sitä todennäköisemmin noudatat vaatimuksia sekä sisäisesti että sertifiointiprosessissa.
Jaa oikeat tiedot oikeiden ihmisten kanssa
Aluksi pyysimme koko henkilökuntaa lukemaan kaikki käytännöt ja säädökset läpi. Se on paljon luettavaa! Ja sitten pyydät heitä selvittämään, mikä heille on tärkeää. Olemme siis ajan mittaan tarkentaneet sitä. Pyydämme ihmisiä lukemaan vain ne käytännöt ja säätimet, jotka liittyvät heidän rooliinsa. Joten pyydät ihmisiä vain ymmärtämään, mikä on heille olennaista, mitä heidän todella tarvitsee tietää ja toimia sen mukaan. Minusta se on aika avainasemassa. Voi, ja tietysti he voivat silti lukea loputkin, jos haluavat.
Muista, että kyse on riskeistä
ISO 27001 on riskiperusteinen standardi. Se on helppo unohtaa, kun olet syvällä sertifioinnissa. Joten kaiken tekemäsi pitäisi vähentää organisaatiollesi kohdistuvaa riskiä. Joskus voit saada sen toisin päin ja päätyä ajattelemaan: "Minun on otettava tämä ohjaus käyttöön, koska standardi sanoo niin". Mutta standardi sanoo sen vain todellisen riskin vuoksi. Et rastita kuvitteellisia ruutuja, vaan suojelet organisaatiotasi. Joten toisinaan riskeistä aloittaminen ja niiden poistaminen auttaa sinua ajattelemaan kaikkea rakentavammin.
Sam Peters – tuote- ja palvelujohtaja
Yksi järjestön pisimpään toimineista jäsenistä ISMS.online Samilla on lähes kahdenkymmenen vuoden kokemus SaaS-ratkaisujen tuomisesta markkinoille. Ennen erikoistumista tietoturva, Sam toimi digitaalisissa tehtävissä sekä julkisella että yksityisellä sektorilla rahoituksen, koulutuksen ja lainvalvonnan parissa. Niin vähän vapaa-aikanaan, mitä hänellä on, Sam nauttii pyöräilystä ja viettää aikaa nuoren perheensä kanssa.
