Integroitu lähestymistapa: Kuinka ISMS.online saavutti ISO 27001- ja ISO 27701 -uudelleensertifioinnin

Lokakuussa 2024 saimme uudelleensertifioinnin ISO 27001, tietoturvastandardi ja ISO 27701, tietosuojastandardi. Onnistuneen uudelleensertifiointimme myötä ISMS.online siirtyy viidenteen kolmivuotiseen sertifiointijaksoonsa – meillä on ollut ISO 27001 yli vuosikymmenen ajan! Meillä on ilo kertoa, että saavutimme molemmat sertifikaatit nollalla poikkeamia ja runsaasti oppimista.

Kuinka varmistimme, että hallinnoimme tehokkaasti ja jatkoimme tietosuojamme ja tietoturvamme parantamista? Käytimme integroitua vaatimustenmukaisuusratkaisuamme – Single Point of Truth eli SPOT, rakentaaksemme integroidun hallintajärjestelmämme (IMS). IMS-järjestelmämme yhdistää tietoturvan hallintajärjestelmämme (ISMS) ja tietosuojatiedonhallintajärjestelmän (PIMS) yhdeksi saumattomaksi ratkaisuksi.

Tässä blogissa tiimimme jakaa ajatuksensa prosessista ja kokemuksesta sekä selittää, kuinka lähestyimme ISO 27001- ja ISO 27701 -uudelleensertifiointiauditoinnit.

Mikä on ISO 27701?

ISO 27701 on tietosuojalaajennus ISO 27001:een. Standardi sisältää ohjeita ja vaatimuksia PIMS:n toteuttamiselle ja ylläpidolle olemassa olevan ISMS-kehyksen puitteissa.

Miksi organisaatioiden tulisi ottaa käyttöön ISO 27701?

Organisaatiot ovat vastuussa arkaluontoisten tietojen tallentamisesta ja käsittelystä kuin koskaan ennen. Tällainen suuri – ja kasvava – datamäärä tarjoaa tuottoisen kohteen uhkatoimijoille ja on kuluttajien ja yritysten keskeinen huolenaihe sen turvallisuuden varmistamisessa.

Maailmanlaajuisten säädösten, kuten GDPR, CCPA ja HIPAA, organisaatioilla on kasvava oikeudellinen vastuu asiakkaidensa tietojen suojaamisesta. Globaalisti siirrymme tasaisesti kohti vaatimustenmukaisuutta, jossa tietoturva ei voi enää olla olemassa ilman tietosuojaa.

ISO 27701:n käyttöönoton edut ulottuvat muuhunkin kuin auttamaan organisaatioita täyttämään sääntely- ja vaatimustenmukaisuusvaatimukset. Näitä ovat vastuullisuuden ja avoimuuden osoittaminen sidosryhmille, asiakkaiden luottamuksen ja uskollisuuden parantaminen, yksityisyyden loukkausten riskin ja niihin liittyvien kustannusten vähentäminen sekä kilpailuedun vapauttaminen.

ISO 27001- ja ISO 27701 -uudelleensertifiointiauditointimme valmistelu

Koska tämä ISO 27701 -auditointi oli uudelleensertifiointi, tiesimme, että se on todennäköisesti syvällisempi ja laajempi kuin vuosittainen valvontatarkastus. Sen oli määrä kestää yhteensä 9 päivää. Edellisen auditoinnin jälkeen ISMS.online on myös muuttanut pääkonttoria, saanut uuden toimipaikan ja tehnyt useita henkilöstömuutoksia. Olimme valmiita korjaamaan näiden muutosten aiheuttamat poikkeamat, mikäli tilintarkastaja havaitsee niitä.

IMS-arvostelu

Ennen tarkastusta tarkistimme käytäntömme ja valvontamme varmistaaksemme, että ne heijastavat edelleen tietoturva- ja tietosuojakäytäntöämme. Kun otetaan huomioon liiketoiminnassamme viimeisen 12 kuukauden aikana tapahtuneet suuret muutokset, oli välttämätöntä varmistaa, että pystymme osoittamaan toimintatapamme jatkuvaa seurantaa ja parantamista.

Tähän sisältyi sen varmistaminen, että sisäisen tarkastuksen ohjelmamme oli ajan tasalla ja täydellinen, pystyimme tallentamaan ISMS Management -kokoustemme tulokset ja että KPI-mittarimme olivat ajan tasalla osoittamaan, että mittaamme tietoturvamme ja tietosuojamme suorituskykyä.

Riskienhallinta ja puuteanalyysi

Riskienhallinnan ja puuteanalyysin tulisi olla osa jatkuvaa parantamisprosessia, kun ylläpidetään sekä ISO 27001- että ISO 27701 -standardien noudattamista. Päivittäiset liiketoimintapaineet voivat kuitenkin tehdä tämän vaikeaksi. Käytimme omia ISMS.online-alustan projektinhallintatyökalujamme ISMS:n kriittisten osien, kuten riskianalyysin, sisäisen tarkastusohjelman, KPI:n, toimittajien arvioinnin ja korjaavien toimenpiteiden, säännöllisten tarkastelujen ajoittamiseen.

ISMS.online-alustamme käyttäminen

Kaikki käytäntöihimme ja hallintaomme liittyvät tiedot säilytetään ISMS.online-alustallamme, joka on koko tiimin käytettävissä. Tämä alusta mahdollistaa yhteisten päivitysten tarkastelun ja hyväksymisen, ja se tarjoaa myös automaattisen versioinnin ja historiallisen aikajanan kaikista muutoksista.

Alusta myös ajoittaa automaattisesti tärkeät tarkistustehtävät, kuten riskiarvioinnit ja -arvioinnit, ja antaa käyttäjille mahdollisuuden luoda toimintoja varmistaakseen, että tehtävät valmistuvat vaaditussa aikataulussa. Mukautettavat puitteet tarjoavat johdonmukaisen lähestymistavan prosesseihin, kuten toimittajien arviointiin ja rekrytointiin, ja niissä kerrotaan yksityiskohtaisesti tärkeät tietoturva- ja tietosuojatehtävät, jotka on suoritettava näissä toimissa.

Mitä on odotettavissa ISO 27001- ja ISO 27701 -auditoinnin aikana

Tarkastuksen aikana tarkastaja haluaa tarkastella joitain IMS:si avainalueita, kuten:

1. Organisaation käytännöt, menettelyt ja prosessit henkilötietojen tai tietoturvan hallintaa varten
2. Arvioi tietoturva- ja yksityisyysriskisi sekä asianmukaiset hallintakeinot määrittääksesi, vähentävätkö valvontasi tunnistettuja riskejä tehokkaasti.
3. Arvioi omasivaaratilanteiden hallinta. Onko kykysi havaita, raportoida, tutkia ja reagoida tapahtumiin riittävä?
4. Tarkista kolmannen osapuolen hallinta varmistaaksesi, että käytössäsi on riittävät hallintakeinot kolmannen osapuolen riskien hallitsemiseksi.
5. Tarkista koulutusohjelmasi ja kouluta henkilöstöäsi riittävästi yksityisyyteen ja tietoturvaan liittyvissä asioissa.
6. Tarkista organisaatiosi suorituskykymittarit varmistaaksesi, että ne täyttävät määrittelemäsi tietosuoja- ja tietoturvatavoitteesi.

Ulkoinen tarkastusprosessi

Ennen kuin tarkastuksesi alkaa, ulkoinen tarkastaja antaa aikataulun, jossa kerrotaan yksityiskohtaisesti, minkä laajuuden he haluavat kattaa ja haluavatko he keskustella tiettyjen osastojen tai henkilökunnan kanssa tai käydä tietyissä paikoissa.

Ensimmäinen päivä alkaa avauskokouksella. Johtoryhmän jäsenet, meidän tapauksessamme toimitusjohtaja ja CPO, ovat paikalla vakuuttamaan tilintarkastajalle, että he johtavat, tukevat aktiivisesti ja ovat mukana koko organisaation tietoturva- ja tietosuojaohjelmassa. Tämä keskittyy ISO 27001:n ja ISO 27701:n hallintalausekkeiden käytäntöjen ja kontrollien tarkistamiseen.

Viimeisimmän tarkastuksemme osalta avauskokouksen päätyttyä IMS-päällikkömme otti suoraan yhteyttä tarkastajaan tarkistaakseen ISMS- ja PIMS-käytännöt ja -kontrollit aikataulun mukaisesti. IMS Manager auttoi myös auditoijan ja laajempien ISMS.online-tiimien ja henkilöstön välistä yhteistyötä keskustellaksemme lähestymistavastamme erilaisiin tietoturva- ja tietosuojakäytäntöihin ja valvontatoimiin ja saadakseen todisteita siitä, että noudatamme niitä päivittäisessä toiminnassamme.

Viimeisenä päivänä pidetään päätöskokous, jossa tilintarkastaja esittelee virallisesti tarkastuksen havainnot ja tarjoaa mahdollisuuden keskustella ja selventää asiaan liittyviä asioita. Olimme tyytyväisiä huomatessamme, että vaikka tilintarkastajamme esitti joitakin huomautuksia, hän ei havainnut sääntöjenvastaisuutta.

Ihmiset, prosessit ja teknologia: kolmiosainen lähestymistapa IMS:ään

Osa ISMS.online eetoksena on, että tehokas, kestävä tietoturva ja tietosuoja saavutetaan ihmisten, prosessien ja teknologian avulla. Pelkästään teknologiaan perustuva lähestymistapa ei koskaan onnistu.

Pelkästään teknologiaan perustuva lähestymistapa keskittyy standardin vähimmäisvaatimusten täyttämiseen sen sijaan, että hallittaisiin tehokkaasti tietosuojariskejä pitkällä aikavälillä. Henkilökuntasi ja prosessisi sekä vankka teknologiakokoonpano vievät sinut kuitenkin edelläkävijäksi ja parantavat merkittävästi tietoturvaasi ja tietosuojasi tehokkuutta.

Osana tarkastusten valmistelua esimerkiksi varmistimme, että henkilöstömme ja prosessimme on linjassa käyttämällä ISMS.online-käytäntöpakettiominaisuutta jakaaksemme kaikki olennaiset käytännöt ja hallintalaitteet kullekin osastolle. Tämä ominaisuus mahdollistaa sen, että jokainen henkilö lukee käytännöt ja hallintalaitteet, varmistaa, että henkilöt ovat tietoisia rooliinsa liittyvistä tietoturva- ja tietosuojaprosesseista, ja varmistaa tietojen noudattamisen.

Vähemmän tehokas valintaruutuun perustuva lähestymistapa usein:

• Sisällytä pinnallinen riskinarviointi, joka voi jättää huomioimatta merkittäviä riskejä
• Ohita keskeisten sidosryhmien yksityisyyttä koskevat huolenaiheet.
• Järjestä yleiskoulutusta, joka ei ole räätälöity organisaation erityistarpeisiin.
• Suorita rajoitettu valvonta ja hallintalaitteiden tarkistus, mikä voi johtaa havaitsemattomiin tapahtumiin.

Kaikki nämä avoimet organisaatiot mahdollisesti vahingollisiin rikkomuksiin, taloudellisiin seuraamuksiin ja mainevaurioihin asti.

Mike Jennings, ISMS.onlinen IMS-päällikkö neuvoo: ”Älä käytä standardeja vain tarkistuslistana saadaksesi sertifioinnin; "elä ja hengitä" käytäntöjäsi ja valvontatoimiasi. Ne tekevät organisaatiostasi turvallisemman ja auttavat sinua nukkumaan hieman helpommin yöllä!”

ISO 27701 Roadmap – Lataa nyt

Olemme luoneet käytännöllisen yksisivuisen tiekartan, joka on jaettu viiteen keskeiseen painopistealueeseen ISO 27701 -standardin saavuttamiseksi ja saavuttamiseksi yrityksessäsi. Lataa PDF-tiedosto jo tänään saadaksesi yksinkertaisen alun matkallesi kohti tehokkaampaa tietosuojaa.

Lataa nyt

Avaa vaatimustenmukaisuusetusi

ISO 27001- ja ISO 27001 -standardien uudelleensertifioinnin saaminen oli meille ISMS.onlinella merkittävä saavutus, ja teimme sen omalla alustallamme nopeasti, tehokkaasti ja ilman poikkeamia.

ISMS.online tarjoaa 81 % etumatkan, Assured Results Method -menetelmän, luettelon dokumentaatiosta, jota voidaan ottaa käyttöön, mukauttaa tai lisätä, sekä Virtual Coach -tuen jatkuvasti. Varmista helposti, että organisaatiosi suojaa aktiivisesti tietosi ja tietojesi yksityisyyttä, parantaa jatkuvasti lähestymistapaansa tietoturvaan ja noudattaa standardeja, kuten ISO 27001 ja ISO 27701.

Tutustu etuihin suoraan – pyydä puhelu joltakin asiantuntijaltamme jo tänään.