ISO 27001 -sertifiointi, yksinkertaistettu

ISO 27001-sertifiointi

Sertifiointi osoittaa organisaation sitoutumisen tietovarojen/arkaluonteisten tietojen jatkuvaan parantamiseen, kehittämiseen ja suojaamiseen ottamalla käyttöön asianmukaisia ​​riskinarviointeja, asianmukaisia ​​käytäntöjä ja valvontatoimia.

ISO 27001 -sertifioitu organisaatio mainostaa maailmalle, johon he luottavat, ovat ottaneet käyttöön standardin kohdan 4.4 mukaisen tietoturvan hallintajärjestelmän (ISMS) ja osoittaneet vaatimustenmukaisuuden ulkoiselle auditoijalle/riippumattomalle ISO-sertifiointielimelle, esim. UKAS:lle.

ISO 27001 -sertifiointi on liiketoiminnan erottava tekijä ja osoittaa muille yrityksille, että he voivat luottaa organisaatioosi hallitsemaan arvokkaita kolmannen osapuolen tietoresursseja/dataa ja immateriaaliomaisuutta. tämä tarjoaa runsaasti uusia mahdollisuuksia samalla kun suojaat yritystäsi riskeiltä.

ISO 27001 -standardi on kansainvälisesti tunnustettu parhaiden käytäntöjen viitekehys ISMS:lle

ISO 27001 -tunnustus on arvokkainta Yhdistyneen kuningaskunnan organisaatioille, kun saat sertifioinnin UKAS:n (United Kingdom Accreditation Service) akkreditoidulta sertifiointielimeltä, joka auditoi organisaatiosi itsenäisesti ja antaa sinulle ISO 27001 -sertifikaatin.

Muita UKASiin verrattavia sertifiointielimiä on kansainvälisesti, mikä auttaa ylläpitämään ISO/IEC 27001 -tietoturvastandardia kaikkialla, missä organisaatio pyrkii saavuttamaan ISO 27001 -sertifioinnin. ISO 27001 -sertifiointi ei koske vain teknisiä toimenpiteitä, joita otat käyttöön. ISO 27001 tarkoittaa sitä, että käytössäsi olevat liiketoiminnan hallinta- ja hallintaprosessit ovat riittäviä ja oikeasuhteisia riskiarvioinnissasi tunnistamiisi ja arvioimiisi tietoturvauhkiin ja mahdollisuuksiin nähden. Ja tämä kaikki tulisi tehdä yritysvetoisella lähestymistavalla tietoturvan hallintaprosessiin.

ISO 27001 -sertifiointi vs vaatimustenmukaisuus

Tietoturvan hallintajärjestelmien uudet organisaatiot kysyvät usein ISO 27001 -sertifioinnin ja vaatimustenmukaisuuden välisestä erosta, etenkin kun ne noudattavat tunnustettuja standardeja, kuten ISO 27001.

Yksinkertaisesti sanottuna vaatimustenmukaisuus voi tarkoittaa, että organisaatio noudattaa ISO 27001 -standardia (tai sen osia). ISO 27001 -sertifiointi tarkoittaa, että organisaation ISO 27001 -tietoturvan hallintajärjestelmä on sertifioinut standardin mukaisesti sertifiointieliminä tunnetut auditoijat.

Miksi tarvitset ISO 27001 -sertifikaatin?

ISO 27001 -sertifiointi koskee kaikkia organisaatioita, jotka haluavat tai ovat velvollisia virallistamaan ja parantamaan tietoturvaan, yksityisyyteen ja tietoresurssiensa turvaamiseen liittyviä liiketoimintaprosesseja.

Yrityksen koko/liikevaihto ei sanele organisaation ISO 27001 -standardin tarvetta; pienimmälläkin yrityksellä voi olla vaikutusvaltaisia ​​asiakkaita tai muita sidosryhmiä, kuten sijoittajia, jotka etsivät luontaisia ​​takeita UKAS ISO 27001 -sertifiointitarjouksista.

ISO 27001 -sertifioinnin ansiosta organisaatiosi voi osoittaa, että sen ihmiset, prosessit, työkalut ja järjestelmät noudattavat tunnustettuja puitteita. Kuvittele talousraportoinnin tai terveyden ja turvallisuuden maailma ilman standardeja. Tietoturva on hieman jäljessä näiltä alueilta sertifioinnin ja riippumattoman auditoinnin näkökulmasta. Silti, kun muutosvauhti kiihtyy lähes kaikkeen, innovatiivisemmat organisaatiot pääsevät eteenpäin sisäisesti, erityisesti toimitusketjunsa suhteen. Joten voit tarkastella ISO 27001 -sertifiointia kahden linssin läpi;

Luottamus toimittajiisi

Asiakkaana tarvitset luottamusta siihen, että toimittajasi ovat sertifioituja auttamaan vähentämään liiketoimintasi riskejä ja hyödyntämään mahdollisuuksiasi, esimerkiksi johdonmukaisempien, korkeampien standardien ja alhaisempien kokonaiskustannusten ja työriskien ansiosta.

Rakenna luottamusta yritykseesi

Asiakkaasi ovat tulossa älykkäämmiksi; he pitävät sinusta, ja heidän on tiedettävä, että toimitusketju on suojattu riittävästi. Vaikutusvaltaiset asiakkaat yksinkertaisesti vaativat ISO 27001 -sertifioinnin ja siirtävät riskinhallintaprosessin toimitusketjua myöten. Saatavilla on myös muita spinoff-etuja, puhumattakaan kaikesta ylimääräisestä liiketoiminnasta, jonka voit saada ISO 27001 -sertifioinnilla verrattuna jälkeenjääneisiin, jotka eivät sitä saa. Esimerkiksi hyvin perillä oleva henkilökunta haluaa työskennellä luotettavien tuotemerkkien hyväksi. Vakuutusyhtiöiden saavuttaessa parempia toimintatapoja sen pitäisi tarkoittaa myös pienempiä vakuutusmaksuja organisaatioille, joilla on itsenäisesti sertifioitu ISO 27001 -tiedonhallintajärjestelmä.

ISO 27001 -sertifioinnin edut

Kaikille sidosryhmille keskeinen viesti on ulkoisesti tarkastetusta tietoturvan hallinnasta saatu luottamus ja varmuus. ISO 27001 -sertifikaatti tarjoaa useita etuja – esimerkiksi:

Edut sinulle

• Suojaa IP, tuotemerkki ja maine
• Voita lisää liiketoimintaa uusilta ja nykyisiltä asiakkailta
• Vähennä myyntikustannuksia
• Säilytä enemmän liiketoimintaa
• Parannetut prosessit johtavat kustannus- ja ajansäästöihin
• Vältä sakkoja säännösten noudattamatta jättämisestä (kuten GDPR)
• Vältä tietoturvaloukkauksesta johtuvia siviilikanteita
• Vältä vahinkojen ja/tai rikkomusten aiheuttamien korjaavien toimien kustannukset
• Houkuttele parempaa henkilökuntaa

Edut henkilöstöllesi

• Luota organisaation kestävyyteen
• Työkoulutusta (ja kodin turvallisuutta)
• Selkeys käytäntöjen ja menettelytapojen avulla
• Ylpeyttä organisaatiosta ja heidän roolistaan ​​sen suojelemisessa

Edut asiakkaillesi

• Luottamus ja varmuus sinuun ja toimitusketjuusi
• Pienempi kalliin rikkomuksen todennäköisyys
• Pienemmät toimittajan liittymiskustannukset

ISO 27001 -sertifiointi: Onko se sen arvoista?

Mitään tekeminen ei luultavasti ole vaihtoehto, jos käytät ja hallitset muiden omistamia arvokkaita tietoresursseja. Joidenkin organisaatioiden koko liiketoiminta perustuu tietoresurssien kehittämiseen tai hallintaan.

Joten siinä tapauksessa, että menettää osan tai kaikki kyseisestä liiketoiminnasta tai ei voita enempää tulevaisuudessa, tarkoittaa todennäköisesti sitä, että kannattaa investoida ISO 27001 -sertifikaatin saamiseen, varsinkin jos asiakkaat tai muut sidosryhmät, kuten sijoittajat, näkevät riskin.

ISO 27001 -sertifikaatin saaminen ei ole niin monimutkaista tai kallista kuin ennen innovatiivisten ratkaisujen, kuten ISMS.online, ansiosta. Ja huolimatta monista strategisista ja taloudellisista eduista, jotkut johtajat pitävät sitä edelleen "kaunana" ostona ja toisena byrokraattisena rastiruututehtävänä. Sertifioinnin saavuttaminen tarkoittaa tyypillisesti aika- ja kustannusinvestointia; kuten useimmat strategiset sijoitukset, kannattaa ottaa huomioon tuotto ja laajempi hyöty.

Mitä ISO 27001 -toteutukseen sisältyy?

ISO 27001:n toteuttamiseksi sinun on kehitettävä "johtamisjärjestelmä", joka koostuu ihmisistä, prosesseista ja teknologiasta.

Ihmisten osalta tarvitset johtajuutta, joka ohjaa toteutusta, jotta se saavuttaa liiketoiminnan tavoitteet, kulttuuriset normit, säännölliset tarkastelut ja osoittavat, että organisaatio ottaa sen vakavasti. Tarkastajat haluavat, että "ISO 27001:n henkeä" sovelletaan sekä dokumentteja tällä ylemmän tason tasolla, joten auditointiin osallistuva johtaja, joka teeskentelee ymmärtävänsä ISO 27001 -tietoturvan hallintajärjestelmän, on myös resepti katastrofiin.

Tarvitset myös ihmisiä, jotka ymmärtävät liiketoimintaasi ja joilla on kyky, kapasiteetti ja luottamus vastata vaatimuksiin. "Ihmisten" investointi määräytyy ISO 27001 -tietoturvajärjestelmän (ISMS) käyttöönotossa ja ylläpidossa käytetyn tekniikan mukaan.

Tarvitset esimerkiksi:

• Digitaalinen tai paperipohjainen ratkaisu kuvaamaan, kuinka täytät ISO 27001 -standardin perusvaatimukset ja kuinka sitä hallitaan ajan mittaan (sinua auditoidaan vähintään kerran vuodessa – katso tarkemmin alla).
• Se on samanlainen ympäristö kaikkien kehitettyjen liitteen A valvonta- ja käytäntöjen dokumentointiin ja hallintaan ja sen jälkeen varmistamiseen, että ne ovat niiden ihmisten saatavilla, joita ne koskevat. Voit todistaa, että he ovat tietoisia niistä ja ovat sitoutuneita (muista, että nämä ihmiset voivat olla henkilökuntaa ja tavarantoimittajia). Älä myöskään kirjoita ohjaimia ja käytäntöjä vain sen vuoksi. Niiden kaikkien tulisi perustua organisaatiosi kohtaamiin ongelmiin, kiinnostuneiden osapuolten odotuksiin, laajuuteen ja rajoihin (esim. tuotteet, sijainnit jne.) sekä tietovaroihin, joita haluat suojata. Sinun täytyy "näytä työsi" myös täällä ja dokumentoida kaikki tämä. On vaikea tehdä sitä hyvin ja ylläpitää sitä ajan myötä pelkkien Word-asiakirjojen, laskentataulukoiden ja jaetun aseman avulla.
• Hallintajärjestelmässäsi on kaikki työskentelyn taustalla olevat työkalut, jotka on dokumentoitu ja tilintarkastajan on helppo seurata.
  Kaikille näille toiminnoille tehdään riskiarviointi (riskinhallintatyökalullasi), jotta voit määrittää, mitkä liitteen A valvontatavoitteet sinun on pantava täytäntöön. Nämä toiminnot johtavat soveltuvuusilmoitukseesi ilman, että ne menevät liian teknisesti tässä vaiheessa. Sanoinko jo, että sinun on osoitettava tämä auditoijalle saadaksesi ISO 27001 -sertifikaatin?
• Dokumenttijoukko voi auttaa, jos se on käytännöllinen eli sitä voi käyttää käytännössä ja se on helppo ottaa käyttöön, mukauttaa ja täydentää. Sen pitäisi myös integroitua tähän teknologiaratkaisuun.
• Jos luotat toimitusketjuun, sinun on näytettävä, kuinka hallitset näitä toimittajia ja erityisesti heidän sopimuksiaan (se on myös GDPR-vaatimustenmukaisuuden perusvaatimus!)
• Valvonnan tavoitteet ja vaatimukset edellyttävät lähestymistavan kuvausta (esim. turvallisuuspoikkeamien hallintapolitiikka) ja sen esittelyä (ts. turvavälikohtausten jäljitin ja kaikki sen tapahtumat, tapahtumat ja heikkoudet yksityiskohdat ja todisteet ovat myös helposti saatavilla).

Suunnittele, tee, tarkista, toimi

Tunnettuja lähestymistapoja järjestelmän toteuttamiseen ovat PDCA (Plan, Do, Check, Act) -lähestymistapa. Se oli tavanomainen laadunhallintatapa, mutta ehkä hieman ohimenevä kirjaimellisessa muodossaan.

ISO 2013:n 17/27001-versio mahdollisti ketterämmän ja dynaamisemman prosessin, joka tukee hallintajärjestelmän jatkuvaa arviointia ja parantamista, joten enemmänkin reaaliaikaista PDCA:ta ja PDCA-tilauksen sekoittamista pragmaattista ketterää lähestymistapaa varten. Organisaatioilla on yleensä tällainen dynaaminen lähestymistapa toiminnallisiin turvajärjestelmiinsä, kuten palomuurit, verkkoskannerit jne. Se sopii paremmin jatkuvasti muuttuvaan moderniin riskimaailmaan. Hyvin hallittu tietoturvan hallintajärjestelmä on tulevaisuudessa paljon ketterämpi, dynaamisempi ja jatkuvasti valvottava ISMS.

1. Suunnittele ISO 27001 -standardin käyttöönotto

Kun lisäät kontekstia ja rakennetta ISO 27001 -toteutussuunnitelmaasi, johtavan toteuttajan tulee ottaa huomioon seuraavat näkökohdat:

• Selvitä tavoitteet, pakottavat syyt toimia ja mahdolliset määräajat, joihin haluat päästä – sekä seuraukset, jos ne ajautuvat.
• Tunnista otsikko RoI, jotta voit soveltaa oikeita ihmisiä ja johtajuutta – se auttaa myös budjetin kehittämisessä, jos sitä tarvitaan.
• Jos tiimi on uusi ISO 27001 -standardin käyttäjä, osta ISO-standardit ja ISO 27002 -ohjeet ja lue ne – vertaamalla nykyistä sisäistä ympäristöäsi menestykseen (kevyt aukko-analyysi). Monet vaatimuksista, prosesseista ja ohjauksista saattavat olla jo olemassa ja vaatia virallistamista. Et välttämättä tarvitse ulkopuolista koulutusta tai johtavien tarkastajien toteuttajaohjelmia – ne voivat olla turhia ja vaikuttaa kielteisesti siihen, miten haluat tietoturvan hallintajärjestelmäsi toimivan käytännöllisenä ISMS:nä.
• Harkitse esikonfiguroituja teknologiaratkaisuja ja työkaluja vertaillaksesi, onko se parempi kuin mitä sinulla on jo sisäisesti, ja hyödynnäkö arvokkaat resurssit paremmin. Joissakin näistä ratkaisuista, kuten ISMS.online, on jo kaikki tarvitsemasi työkalut, ja ne sisältävät käyttökelpoista dokumentaatiota, jota voit ottaa käyttöön, mukauttaa ja täydentää valtavan etumatkan saavuttamiseksi, ja tarjota virtuaalista valmennusta ja koulutusta sertifioinnin saavuttamiseksi.
• Aloita… ja jaa kaikki työt pieniksi paloiksi ja juhli pienten voittojen voimaa. Toistuvan edistymisen näkeminen kohti 100 % täydellisyyttä on tarttuvaa, joten muista löytää näkyvä, läpinäkyvä ja yhteistyöhön perustuva ratkaisu näiden pienten onnistumisten jakamiseen!

2. Käsittele ISO 27001 -standardin keskeisiä elementtejä

ISO 27001 voidaan toteuttaa alhaalta ylöspäin ottamalla politiikkaan perustuva lähestymistapa luomalla asiakirjat liitteen A valvontaa varten. Strategisempi ja yritysvetoisempi lähestymistapa noudattaa kuitenkin laajasti ISO 27001:n kirjoitettua ja loogista tapaa. Olemme tiivistäneet sen yksinkertaisesti seuraavasti:

• Tarkastele organisaatiosi ongelmia ja ymmärrä kiinnostuneiden osapuolten (sidosryhmien) tarpeita; erityisesti tunnistaa tietovarat mahdollisimman varhaisessa vaiheessa (saat lisätietoja myöhemmin).
• Aseta ISMS:n rajat ja laajuus.
• Määrittele organisaatiosi turvallisuustavoitteet sen ISMS:stä.
• Ota käyttöön kyky suorittaa säännöllisiä toteutustarkastuksia, auditointeja ja arviointeja osoittaaksesi, että olet hallinnassa, ja dokumentoi (lyhyesti) ensimmäisestä toteutuspäivästä lähtien jakaaksesi matkan tarkastajan kanssa ja saadaksesi oppia.
• Tunnista näihin tietovaroihin liittyvät riskit ja suorita riskiarvioinnit – jos resurssit eivät riitä, suosittelemme, että asetat etusijalle korkeamman riskin tietovarat ja merkittävämmät uhat CIA:lle todennäköisyyden ja vaikutuksen perusteella.
• Luo riskien hoitosuunnitelma jokaiselle riskille. Valitse tarvittaessa liitteen A valvontatavoitteet ja valvontatoimenpiteet, jotka on otettava käyttöön, ja käsittele näitä riskejä – mieluiten yhdistä ne, jotta tiedät, että omaisuutesi, riskisi ja valvontasi sopivat yhteen. Jos muutat tai tarkistat yhden osan, näet vaikutuksen siihen liittyviin osiin.
• Valmistele soveltuvuusselvitys – tämä saa monet ihmiset kiinni, mutta se on pakollinen vaatimus ja voi hukata paljon aikaa.

Muista dokumentoida kaikki ja näyttää, että koko järjestelmä toimii tämän säännöllisen arvioinnin kanssa.

3. Arvioi ISO 27001 -standardisi standardin mukaisesti ja sen valmius sertifiointiin

On erittäin tärkeää, että käytössä on mittaukset ja tarkistukset, jotta varmistetaan, että ISMS-järjestelmäsi täyttää tavoitteensa. ISO 27001 sisältää vaatimukset suunniteltua arviointia varten, joka tapahtuu seuraavasti:

• Johdon arvostelut
• Sisäiset tarkastukset
• Ulkoiset auditoinnit – tarvittaessa ne voivat olla ISO 27001 -sertifiointielimen tai asiakkaiden tai konsulttien tekemiä

4. Paranna ISMS-järjestelmääsi tarpeen mukaan ja järjestä ulkopuolisen sertifiointielimen suorittama vaiheen 1 auditointi

Jatkuva parantaminen on avain ISO 27001 -standardin menestykseen, ja tilintarkastajat haluavat nähdä tästä todisteita.

Tietoturvauhat ja haavoittuvuudet muuttuvat nopeasti, kuten monissa tapauksissa organisaation kasvu tai tavoitteet. Yrityksen on osoitettava sitoutumisensa korjaaviin toimiin ja parannuksiin ISMS:ään. Oikein toteutettuina ISMS-järjestelmäsi helpottaa liiketoimintaa sen sijaan, että se rajoittaisi liiketoimintaasi.

Miten saan ISO 27001 -sertifikaatin?

Kun olet ottanut käyttöön tietoturvan hallintajärjestelmäsi ja suorittanut ISMS:n ensimmäiset johdon arvioinnit ja alkanut noudattaa lähestymistapaa käytännössä, olet hyvällä tiellä saada ISO 27001 -sertifikaatti.

Se on kaksivaiheinen prosessi sertifioinnin saamiseksi Yhdistyneen kuningaskunnan akkreditointipalvelun akkreditoidun standardin mukaisesti:

Vaihe 1 Audit

Yksinkertaisesti sanottuna sertifiointielimen tarkastaja haluaa nähdä tietoturvan hallintajärjestelmän dokumentaation ja että vaatimukset täyttyvät, ainakin teoriassa! Se on enemmänkin ISMS:n työpöytäkatsaus tarkastajan kanssa tässä vaiheessa, joka kattaa pakolliset alueet ja varmistaa, että standardin henkeä noudatetaan. Edistykselliset sertifiointielimet alkavat tehdä niitä etänä, mikä alentaa kustannuksia ja nopeuttaa prosessia.

Tämän harjoituksen tulos on suositus vaiheen 2 auditointivalmiudesta (ehkä havainnoista, jotka on arvioitava uudelleen vaiheen 2 auditoinnin aikana) tai tarve korjata havaitut poikkeamat ennen kuin edistyminen voi tapahtua.

Riippuen sisäisten tarkastusten tilasta saatat joutua suorittamaan täydellisen sisäisen tarkastuksen ennen vaihetta 2. Suosittelemme, että sovit tarkastajasi kanssa yksityiskohdista, koska jotkut etsivät hieman erilaisia ​​​​asioita – se on vähän kuin jalkapallosäännöt, joissa erotuomarit tulkitsevat niitä eri tavalla. . Muista kysyä heiltä! Hyvä tilintarkastaja haluaa sinun menestyvän ja auttaa sinua ymmärtämään, mitä he odottavat näkevänsä vaiheen 2 auditoinnissa.

Monet organisaatiot epäonnistuvat vaiheessa 1, ja se johtuu useista yleisistä syistä, jotka on yleensä helppo ratkaista hyvällä tietoturvan hallintajärjestelmäratkaisulla (ellei johto ole sitoutunut, mikään ei auta ISMS:ssä!)

Vaihe 2 Audit

Tästä auditoijat alkavat etsiä todisteita siitä, että dokumentoitua tietoturvan hallintajärjestelmää eletään ja hengitetään käytännössä. Henkilökuntasi otetaan mukaan, haastatellaan; ISO 27001 -audioija arvioi laajuutesi fyysisen sijainnin, järjestelmien, prosessien ja menettelyjen suhteen. Kuten useimmat auditoinnit, se on otoskoko, ja jos pystyt johtamaan tarkastajaa yhdistetyllä järjestelmällä, he saavat siitä suurta luottamusta.

Tämän harjoituksen tulos on joko hyväksytty tai hylätty. Jos hyväksyt, sinulla on arvostettu sertifikaatti, epäonnistut, ja sinulla on vielä tehtävää poikkeamien korjaamiseksi, ennen kuin voit lähettää uuden tarkastuksen tai poikkeaman erityistarkastuksen.

Kuinka paljon ISO 27001 -sertifiointi maksaa?

Sertifiointiauditointi ei ole pääkustannus, joka sinun on otettava huomioon. Suurin kustannus on aika ja vaiva, joka kuluu tietoturvan hallintajärjestelmän rakentamiseen ja ISMS:n ylläpitoon vuodesta toiseen osallistuvien henkilöiden sertifioinnin saamiseen.

Sillä voi olla vaihtoehtoiskustannuksia vanhempien resurssien tulonmenetyksistä, ydinosaamisen häiriintymistä yritykselle ja korkeampia konsultointikustannuksia, jos hankit ulkopuolista apua ilman vahvaa teknologian lähtökohtaa.

Sertifiointikustannukset ovat kuitenkin edelleen harkitsemisen arvoisia, ja ne perustuvat organisaatiosi kokoon, laajuuteen, prosesseihin jne. Useimmat sertifiointielimet antavat joko pikatarjouksen verkossa tai jatkotoimien.

ISO 27001 -sertifiointikustannukset tulee ottaa huomioon kolmen vuoden sertifiointisyklissä:

• Alkutarkastus ja sertifiointiauditointi – vaiheet 1 ja 2
• Valvontatarkastukset vuosille 1 ja 2
• Sitten sykli jatkuu uudelleen, ja uusi sertifiointi kolmen vuoden välein.

Tarkastusmaksut ovat tyypillisesti noin 1,000 1 puntaa päivässä (ilman ALV), ja tarvittavien päivien määrä vaihtelee organisaation koon ja johtamisjärjestelmän laajuuden mukaan. Esimerkiksi pieni yritys, jolla on yksinkertainen laajuus (esim. yksi tuote, muutama prosessi, yksi pääkonttori jne.), saattaa tarvita yhden päivän vaiheen 2 auditointiin, kaksi päivää vaiheen XNUMX auditointiin ja lisäpäivän vuosittaista valvontaa kohti.

Kannattaa myös etsiä innovatiivisempia tarkastuselimiä, jotka ovat valmiita tarkastelemaan etävaiheen 1 auditointeja. Tämä otetaan todennäköisesti huomioon vain silloin, kun hallintajärjestelmä pidetään täysin digitaalisena, kuten ISMS.onlinessa. Tämä tarkoittaa, että heidän on auditoijina helpompi nähdä toteutus toiminnassa. Tämä säästää kustannuksia väistämättömissä matkakuluissa ja ajassa.

ISO 27001 -sertifikaatin ylläpitäminen

ISO 27001 -sertifiointi suoritetaan 3 vuoden jaksolla:

• Vaiheet 1 ja 2 ja sitten sertifikaatin myöntäminen
• Valvontatarkastus 1 (yleensä vuosittain tai voi olla useammin laajuuden, riskin ja koon perusteella)
• Valvontatarkastus 2
• Kolmannen vuoden uudelleensertifiointi ja tarkempi arviointi

Tilaaminen tilintarkastuselimelle voi kestää 4-6 viikkoa, joten pidä tämä läpimenoaika mielessä ja suosittelemme, että etsit toimialaasi ja yrityksesi kokoa hyvin tuntevan tilintarkastajan. Muuten ne voivat olla enemmän tai vähemmän kalliita, mutta ratkaisevan tärkeää, jos he eivät ymmärrä tietoturvan hallintajärjestelmän haasteita liiketoiminnan näkökulmasta, se voi olla tuskallinen prosessi. Muista, että tilintarkastaja on yleensä aina oikeassa (vaikka voit helpommin osoittaa, miksi olet tehnyt jotain ja selittää riskinottohaluasi, kontrollin valintasi jne., jos sinulla on hyvin hoidettu ISMS.)