ISMS.online uskoo, että ISO 27001 voidaan saavuttaa edullisesti, erityisesti käytettäessä työkaluja ja ominaisuuksia, joita ISMS.onlinen kaltaisella alustalla on tarjota. Kun otat huomioon organisaatiosi sertifiointibudjetin, sinun tulee ottaa huomioon toteutuksen kustannukset sekä sertifioinnin kustannukset.
Saat lisätietoja ISO 27001 -sertifioinnin kustannuksista tästä.
Kyllä, jos olet tilannut ISO 27001 ratkaisu, alustasi toimitetaan esikonfiguroituna ja valmiina, jotta voit helposti noudattaa vaatimuksia ja liitteen A ohjaimia. Se säästää aikaa ja vaivaa verrattuna omien monimutkaisten kansiorakenteiden, käyttöoikeuksien ja versiohallintaan asettamiseen, mikä omasta kokemuksesta tiedämme, että se ei toimi hyvin käytännössä.
Se tarkoittaa myös sitä, että kaikki, joilla on pääsy online-ISMS, mukaan lukien (esimerkiksi) tilintarkastajat, voivat helposti tunnistaa standardin rakenteen ja numeroinnin ja saada varmuuden siitä, että työskentelytapasi on todennäköisemmin vaatimusten mukainen.
Ja tietysti, jos olet uusi tai kehität lähestymistapaasi ISO 27001: 2013 Tarjoamme myös joukon käytännöllisiä asiakirjoja (asioita, joita voit käyttää käytännössä, toisin kuin perusasiakirjat, jotka ovat saatavilla hyllyltä saatavista työkalupakkeista), jotka antavat sinulle jopa 77 % etumatkan. Sen avulla saat hyviä ohjeita omaksumiseen, mukauttamiseen ja dokumentaatioon lisäämiseen omien liiketoimintatavoitteidesi saavuttamiseksi.
Esikonfiguroimme myös kaikki muut menestymiseen tarvitsemasi ISMS-elementit; nämä sisältävät riskirekisterit, kiinnostuneiden kartta, omaisuusluettelo, vaaratilanteiden hallinta ja korjaavien toimenpiteiden työkalut, toimitusketjun hallinta, auditointi ja ISMS-hallinnan katsaukset. Lopuksi voit seurata meitä Virtual Coach -ohjelma ja nopeuttaa menestystäsi nopeasti keskittymällä siihen, mitä sinun on tehtävä, ilman, että sinun tarvitsee tuhlata aikaa sen tekemiseen.
Jos aiot olla itsenäisesti sertifioitu esim UKAS, sinun on näytettävä toimilupa ISO 27001 -standardin mukaisesti. Jos haluat vain olla vaatimusten mukainen, etkä ole itsenäisesti sertifioitu, sinun ei tarvitse näyttää lisenssiä kenellekään. Suosittelemme silti kaikkia ostamaan vähintään yhden käyttäjän lisenssin (tämä maksaa noin 100 puntaa) varmistaakseen, että he toimivat vaatimustenmukaisesti.
Organisaatioille, joille ISO 27001 on uusi, suosittelemme hankkimaan ISO 27002:2013 -ohjeistuksen (myös noin 100 puntaa), koska se täydentää omaa Virtual Coach -ohjelmaamme.
Nämä asiakirjat tulee ostaa virallisesta ISO-kaupasta, josta saat sitten vesileimallisen lisenssiversion, joka on ladattavissa organisaatiosi käyttöön:
Jos olet ostanut standardit, voit todistaa sen ISMS.onlinessa lataamalla dokumentteja tai lisäämällä standardiin hyperlinkin. Tämän avulla voit näyttää, mistä hait tämän näkemyksen, jos ulkoinen tarkastaja sitä pyytää.
Yhteenvetona voidaan todeta, että dokumentaatiomme ja täydentävät työkalumme, puitteemme ja menetelmämme antavat sinulle etumatkan jopa 77 %:n edistymiseen, joten voit nopeasti ottaa käyttöön, mukauttaa ja lisätä ratkaisun.
Toisin kuin muut dokumentaatiotyökalut, joita saatat nähdä verkossa, pakettimme eroaa seuraavasti:
Toimintakelpoinen: Tarvittaessa menemme käytäntöjen ja valvontatoimien yleisten kuvausten lisäksi tarjoamalla sinulle mahdollisuuden esitellä työsi käytännössä. Jokaista alustan työkalua, kehystä ja ominaisuutta täydentää pragmaattinen politiikka ja menettely. Dokumentaation eläminen ja hengittäminen on tärkein osa, joten sen on oltava yksinkertainen, toimiva ja helposti hallittava. Jos ympärilläsi ei ole helppokäyttöistä teknologiajärjestelmää, saatat luultavasti juuttua tiedostoihin, joita on painajainen käyttää, järjestää ja hallita!
Osoitteiden hallintavaatimukset: Muut asiakirjatyökalut keskittyvät yleensä liitteen A ohjaimiin. Koska otamme liiketoimintalähtöisen lähestymistavan tietoturva, keskitymme ensisijaisesti auttamaan sinua täyttämään hallintovaatimukset. ISMS.online sisältää kaikki käytännöt, ohjeet ja työkalut, joita tarvitaan, jotta voit suorittaa sen nopeasti luottavaisesti ja johtaa liiketoimintaa haluamallasi tavalla.
Jopa 77 %, ei 100 %: Paljon jotakin sinun ISMS voi hyödyntää muiden hyväksi todettuja käytäntöjä ja kokemuksia, mutta jotkin osat ovat ainutlaatuisia organisaatiollesi ja sen halutuille toimintatavoilla. Muut asiakirjantoimittajat voivat väittää, että saat kaiken tarvitsemasi, mutta todellisuudessa et, vaan sinun on vaihdettava osia, jotta se toimii sinulle. Sinulla saattaa myös olla suuri osa jäljellä olevista 23 % olemassa olevista työtavoistasi (esim. salasanakäytännöistäsi), ja huomaat, että sinun on vain dokumentoitava ne ISMS.online-sivustolla!
Tarjoamme myös opastusta ISMS.onlinessa kaikille hallintavaatimuksille ja liitteen A alueille. Noudattamalla sitä ja ISO 27002 -standardia sekä Virtual Coach -resursseja saat kaiken tarvitsemasi päästäksesi 100 %:iin nopeasti.
Huomaat, että mahdolliset puutteet keskittyvät ISO 27001:n teknisempiin näkökohtiin, jotka ovat ainutlaatuisia yrityksellesi. Monet käytännöistämme voidaan ottaa heti käyttöön. Nämä liittyvät todennäköisemmin siihen, miten hallitset ISMS:ääsi käyttämällä alustan ominaisuuksia ja työkaluja. Saatat tuntea, että jotkin käytännöt kaipaavat "muokkausta" heijastamaan omaa yritystyyliäsi, ja voit tietysti päättää mukauttaa niitä omaa lähestymistapaasi vastaaviksi.
Lue lisää lyhyestä artikkelistamme video-
Tässä esimerkissä liitteen A 18.2.2 kohdassa näet, että tarjoamme vinkkejä, jotka voit poistaa, kun olet ymmärtänyt ne. Voit myös nähdä hyperlinkkien käytön, jotka ovat yleisiä kaikkialla alustassa ja heijastavat kokonaisvaltaista lähestymistapaamme ISMS:ään. Tämä tekee tarkastajien työstä paljon helpompaa, koska he voivat navigoida ISMS:si oleellisiin alueisiin ja pääsevät selkeästi koko ISMS:ään yhdestä turvallisesta paikasta.
Tässä esimerkissä näet myös pienen sinisen kuvakkeen vasemmalla, joka ilmaisee Virtual Coachin… näin helppoa on saada asiantuntija-apua, kun sitä eniten tarvitset!
Se, mistä sinun pitäisi aloittaa käyttöönotto, on yksi yleisimmistä kysymyksistä, joita meille kysytään ISO 27001 -matkallaan. Tämä kysymys on miksi kehitimme omamme ISO 27001 Virtual Coach ohjelma ja Assured Results Method (ARM).
Virtuaalivalmentajaan sisältyy erinomainen ISO 27001 -valmisteluprojekti, joka antaa sinulle ymmärryksen ja kontekstin tason ennen kuin aloitat toteutuksen, jossa tietysti on lisäopastusta jokaiselle ISO 27001 -vaatimuksille ja liitteen A ohjauksille.
Virtual Coach hyödyntää Assured Results Method -menetelmäämme, joka on todistettu menestyksen tie ISO 27001 -toteutustoiminnassasi. ARM tarjoaa pragmaattisen riskiin perustuvan lähestymistavan ensimmäiseen ISMS-toteutukseen. Kokeiltu menetelmämme ottaa parhaat puolet yleisistä käytännöistä nopeaan ja tehokkaaseen ISO 27001 -menestykseen.
Joo. Jos sinulla on jo muita järjestelmiä ja erikoistyökaluja esim. lipunseurantaan ja haluat käyttää niitä integroitujen järjestelmien sijaan, se on helppo tehdä.
Muokkaa vain mitä tahansa kirjoittamiamme käytäntöjä työkalujamme silmällä pitäen (jos sinulla ei vielä ole omaasi) ja linkitä sitten omaan työkaluisi meidän omamme sijaan. Vaikka tarjoamme "kaikki yhdessä paikassa" -ratkaisun, ymmärrämme myös, että muita sovelluksia on olemassa, jotta voit ottaa käyttöön niin paljon tai vähän ISMS.onlinea kuin tarvitset menestykseen.
Lyhyt vastaus on kyllä, ja voimme auttaa sinua lataamaan suuria määriä riskejä ja kartoittamaan ne työkaluumme, jos tarvitset sen. Riskityökalu on niin helppokäyttöinen, että sen lisääminen kestää sekunteja. Haluat ehkä käyttää tilaisuutta hyväkseen ja tarkastella olemassa olevia riskejäsi ja päivittää ne ISMS.onlinessa.
Siellä on myös kattava yleisten riskien pankki, josta voit hyödyntää ehdotettuja linkkejä liitteen A valvontaan. Tämä voi säästää viikkoja, kun aloitat!
Jos sinulla on kuitenkin suuri määrä riskejä, ota yhteyttä, niin voimmeko skriptiä tuontiohjelman.
Se riippuu! Jokainen, joka ehdottaa, voi kestää vain muutaman päivän saavuttaa ISO 27001 nollasta lähtöpisteestä on luultavasti harhaanjohtava, mutta oikealla resursseihin sitoutumisella ja verkkoratkaisulla se voi kestää viikkoja kuukausien tai vuosien sijaan. Jos aika on tärkeää, voimme aina auttaa sinua nopeuttamaan sitä. Alustaa käyttämällä voit heti osoittaa sidosryhmillesi, että olet menestyksen tiellä – paljon tehokkaammin kuin käyttämällä mitään muuta.
Tärkeintä on, että ISMS.online auttaa sinua pääsemään tavoitteeseen hirveän paljon nopeammin ja pienemmillä kustannuksilla, vähemmillä asiantuntijaresursseilla kuin muut menetelmät.
Jos haet vaatimustenmukaisuutta yksin, saatat haluta välttää joitain investointeja, kuten ulkoisia auditointeja, ja todeta itsesi vaatimustenmukaiseksi paljon nopeammin. Jos kuitenkin ISO 27001 -standardin saavuttamisen ajuri on ulkopuolinen, esimerkiksi täyttääkseen asiakkaan vaatimuksen tai osan GDPR-vakuutuksesta, tarvitset paljon todennäköisemmin riippumattoman sertifioinnin, jotta ulkopuoliset sidosryhmät voivat luottaa siihen!
Integroitu verkko-ISMS tekee kaikesta nopeampaa ja helpompaa, mutta jos organisaatio ei pidä sitä prioriteettina, sen voi odottaa ajautuvan. Ymmärrämme, että myös muita prioriteetteja on olemassa, joten olet tehnyt seuraavat toimet, jotta toteutuksesi olisi mahdollisimman sujuvaa ja nopeaa:
Loppuhuomautuksena tulee mieleen myös sanonta "naimisissa kiireessä katu vapaasti". Merkittävin sijoituksesi ISMS:ään tulee olemaan sen jatkuvaan hallintaan ja kestävyyteen, varsinkin jos tavoitteesi on riippumaton sertifiointi ja luotettava, turvallisempi organisaatio. Tarvitset verkkoalustan, joka alentaa jatkuvia hallintokuluja ja huolehtii näkemyksistä, raportoinnista, muistutuksista ja muista lisäarvopalveluista, jotta voit tehdä parempia päätöksiä ja rajoittaa turhaa hallintoa.
Yhtiömme Assured Results Method (ARM) auttaa sinua saavuttamaan ISO 27001 -menestyksen nopeasti ja tehokkaasti. ARM käyttää riskiperusteista lähestymistapaa, jotta voit toteuttaa ISMS:si pragmaattisesti ja saada sertifioinnin sinulle sopivassa ajassa. Lue meidän Asiakkaiden tapaustutkimukset nähdäksesi, kuinka olemme auttaneet sinun kaltaisiasi organisaatioita saavuttamaan tavoitteensa nopeasti.
Emme tarjoa sertifiointia. Jos sertifiointi on tavoitteesi, suosittelemme hankkimaan riippumattoman sertifikaatin, jotta asiakkaasi ja muut sidosryhmät voivat luottaa siihen. Jos asut Isossa-Britanniassa, löydät luettelon UKAS-akkreditoidut organisaatiot jotka pystyvät antamaan riippumattoman sertifikaatin.
Vastaavia sertifiointielimiä on olemassa kansainvälisesti ja niiden toimipaikat tarjoavat myös luettelon akkreditoiduista auditoijista. Esimerkiksi Yhdysvalloissa se on ANSI-ASQ:n kansallinen akkreditointilautakunta (ANAB).
Suosittelemme, että keskustelet 2 tai 3 luettelossa olevan organisaation kanssa nähdäksesi kuinka paljon kokemusta heillä on alaltasi, organisaatiosi koko ja sijainti (mikä vaikuttaa esimerkiksi paikan päällä suoritettavien auditointien kuluihin). On tärkeää valita ulkopuolinen tarkastaja, joka sopisi profiiliisi, muuten saatat huomata, että hän on liian kallis eivätkä ole empaattinen ala- tai kokoerollesi.
Ole tietoinen – On akkreditoimattomia yrityksiä, jotka antavat organisaatioille "sertifikaatin", tyypillisesti sen jälkeen, kun he ovat ensin myyneet niille joukon käytäntöjä tai konsultointityötä! Et odottaisi jonkun pystyvän merkitsemään omat läksynsä ja luottamaan siihen, joten vältä tämäntyyppisiä todistuksia.
Ne eivät todellakaan ole sen paperin arvoisia, joille ne on kirjoitettu, ja älykkäät ostajat (ehkä asiakkaasi) eivät hyväksy mitään muuta kuin riippumatonta sertifikaattia, mikä tarkoittaa, että sinulla on mahdollisesti hukattua aikaa ja kustannuksia.
Saatat hakea ISO 27001 -standardin mukaista ISMS-sertifiointia. On monia organisaatioita, jotka tarjoavat sertifiointipalveluita.
Mutta kaikkia sertifiointielimiä ei ole luotu tasa-arvoisiksi!
Kaikki akkreditoimattomat organisaatiot, joilla on tietoa tietoturvan hallinnasta, voivat auditoida ISO 27001 -standardisi ja myöntää sinulle sertifikaatin.
Tämä ei kuitenkaan tyydytä ymmärtäväisempiä ostajia, etenkään jos harjoitat liiketoimintaa Yhdistyneen kuningaskunnan hallituksen kanssa. He etsivät akkreditoitua todistusta. Isossa-Britanniassa ainoa tunnustettu akkreditointielin on United Kingdom Accreditation Service (UKAS). Yhdysvalloissa se on ANSI-ASQ National Accreditation Board (ANAB).
Jos sinulle on tärkeää varmistaa, että voit luottaa tietoturvaan, varmista, että valitsemasi sertifiointielin on akkreditoitu. Luettelot akkreditoiduista sertifiointielimistä ovat saatavilla UKAS- ja ANAB-verkkosivustoilla kuten edellä.
Käytämme varmasti valtavasti työtä ISO 27001:n käyttöönotosta, mikä antaa sinulle vaiheittaisen menetelmän, jota voit seurata, sekä monia vaatimuksia, käytäntöjä ja hallintalaitteita, joita voit helposti ottaa käyttöön, mukauttaa tai lisätä. Säästämme myös valtavasti aikaa oman ISMS:n rakentamiseen verrattuna ja varmistamme, että sinulla on yksinkertainen käytännönläheinen tapa hallita ISMS:ääsi jatkuvasti.
Voit jopa valita tehokkaan Virtual Coach -ohjelman, joka tarjoaa asiantuntevaa käyttöönotto-opastusta eliminoiden tai vähentäen kalliiden konsultointipalvelujen tarvetta. Ja tarvittaessa me ja kumppanimme voimme myös tarjota tätä konsultointia ja toimitustukea (tietysti halvemmalla, ei vähiten siksi, että tarvitset sitä paljon vähemmän!).
Tietoturvasta puhuminen ei ole vaihtoehto sertifioidun ISMS:n saavuttamiseksi, joten johtosi on "osoitava" johdon sitoutumista siihen (mitä teemme myös paljon helpommaksi ISMS.online-yhteistyötyökaluilla). Sen on myös tarjottava pääsy asiaankuuluviin resursseihin yrityksessä, jotta politiikkasi ja valvontasi heijastavat asiaankuuluvaa kulttuuria ja riskinottohalua.
Jos organisaatiollasi ei ole kapasiteettia tai halua hallita aktiivisesti ISMS:ääsi, Virtual Chief Information Security Officerin (VCISO) käyttäminen on helppoa ISMS.onlinen avulla. Yksinkertaisesti "ryhmittele" ne ISMS:ään ja loput voidaan tehdä etänä tai ainakin erittäin harvoin paikan päällä. Yhä useammat yhteistyökumppanimme kehittävät VCISO-palveluita ISMS.onlinen kautta, joten ota yhteyttä, jos haluat tietää siitä lisää.
Ehkä parempi kysymys on: "Tarvitsenko ISO 27001 -konsultointia"? Toisin kuin jotkin muut markkinoilla olevat ISMS-palvelut, sinun ei tarvitse maksaa mistään konsultaatiosta, jos et tarvitse sitä. Haluat varmistaa, että sinulla on itseluottamusta, kykyä ja kapasiteettia ISMS-järjestelmän onnistuneeseen toteuttamiseen, ja voimme auttaa kaikkia niitä koko elämän ajan, jos tarvitset sitä ilman konsulttia!
Vitsi sivuun, näemme kolme aluetta, joilla konsulttiapua saatetaan tarvita:
Tietysti se on edullista, mutta ei välttämätöntä. Suosittelemme, että harkitset uudelleen ponnisteluja ja kustannuksia ISO 27001 johtava toteuttajakurssi. On olemassa vaihtoehtoinen lähestymistapa, joka lisää luottamustasi ja kykyäsi siihen saavuttaa ISO 27001:2103/17 -sertifikaattisi nopeammin ja murto-osalla vaihtoehtojen kustannuksista.
Kutsumme sitä Virtuaalinen valmentaja.
Virtual Coach on koottu auttamaan sinua työskentelemään haluamassasi tahdissa ISO 27001 -toteutuksen edistämiseksi. Se on aina saatavilla verkossa, 24/7, suoraan ISMS.onlinessa. Siellä missä ja milloin tarvitset sitä toimitustoimintasi aikana, toimitpa sitten yksin tai ryhmässä.
Jos olet kiinnostunut virtuaalivalmentajan tarjonnasta, varaa chat kanssamme.
Epäonnistuminen on iso sana, ja vaikka siellä on yrityksiä, jotka myyvät epäonnistumisen pelossa, pidämme toivoa parempana tapana – ja tuo vanha sanonta "epäonnistumisesta valmistautumisesta" soi kovaa ISMS:lle. Jos sinulla on systeeminen ongelma (esim. ISMS-käytäntösi hyllyssä jonnekin jumittunut täydellinen huulipuhe), tarkastuksen epäonnistuminen on todennäköisempää, mutta epäonnistumisia on useita, ja jotkut epäonnistuvat kokonaan!
Auditoinneissa on erilaisia tarkastuksia ja eri vakavuustasoja, jotka voivat johtaa erityyppisten epäonnistumiseen. Tarkastellaanpa niitä hieman, jotta ymmärrämme, mitä "epäonnistuminen" voi tarkoittaa:
Sisäiset tarkastukset: Sinun odotetaan suorittavan sisäisiä tarkastuksia ISMS:si elinkaaren ajan osoittaaksesi, että se täyttää vaatimukset ja pitää lupauksensa. ISO 27001:9.2 peittää sen. Jos tarvitset ulkoisen auditoinnin riippumatonta sertifiointia varten, auditointien tekemättä jättäminen johtaa todennäköisesti merkittävään poikkeamiseen – joten tee sisäiset tarkastukset!
Kuten tölkissä lukee, nämä tarkastukset ovat sisäisiä, ja niiden suorittaa yleensä resurssi. Joten sinulla on myös mahdollisuus huijata etkä epäonnistua, jos haluat, mutta pettäminen ei ole hyvä idea! Tavoitteena on käsitellä näitä harjoituksia myös oppimismahdollisuuksina sekä juhlia onnistumisia asioiden onnistumisesta.
Ulkoiset tarkastajat haluavat nähdä myös sisäisten tarkastustesi tulokset ja ehkä perehtyä joihinkin näytteisiin. Ne haistavat nopeasti rotan ja kaivavat syvemmälle, jos sinulla ei ole raportoitu mitään ongelmia. Voit seurata havainnoissasi ulkopuolisten tarkastajien kieltä ja puhua pienistä/suurista poikkeamista, korjaavista toimenpiteistä, havainnoista ja laajemmista parannuksista.
Jos käytät ISMS.onlinea, voit noudattaa käytännöllistä sisäisen tarkastuksen politiikkaamme, käyttää tarkastusaluetta toimintasi näyttämiseen ja linkittää sen helposti korjaaviin toimenpiteisiin ja parannuksiin. Seuraa, jos sinun on suoritettava merkittävämpiä toimenpiteitä tarkastaa.
Ulkoiset auditoinnit: Ellet ole antanut auditointioikeutta asiakkaalle, oletamme, että ulkoinen auditointisi koskee riippumatonta ISO 27001 -sertifiointia. Ulkoinen auditointi seuraa elinkaarta ja sisältää:
Missä tahansa vaiheessa auditoija voi "epäonnistua" sinut tällä matkalla, mutta se on harvoin suoraviivainen epäonnistuminen, ellei sinulta puuttuu jotain olennaista ISMS:ssäsi tai ISMS:ääsi ei ole hallittu kovin hyvin sen elinkaaren aikana. Olemme auttaneet lieventämään näitä molempia tekijöitä suunnittelemalla ISMS.online-ympäristön, joka auttaa sinua keskittymään tärkeisiin asioihin ja näyttämään edistymisesi selkeästi.
Vaiheen 1 auditoinneissa tarkastellaan enemmän ISMS:si työpöytäarviointia ja kysytään joitain tavoitteita koskevia peruskysymyksiä ja tarkistetaan, että sinulla on oikea tarkoitus, laajuus, johtajuuden sitoutuminen jne. He haluavat olla varmoja, että ISMS-järjestelmäsi on täydellinen kuvailevien vaatimusten, tavoitteiden, riskien, tietoresurssien, toimintatapojen ja kontrollien, soveltuvuusselvityksen jne.
He haluavat nähdä, että varhaisen vaiheen toimintasi ISMS:n ympärillä toimii, esim. johdon arviointeja tehdään, ISMS:ää hallinnoiva henkilökunta on koulutettua ja pätevää. Palaute tulee raportin muodossa, jossa on "epäonnistumisen" tasot poikkeamien kielellä, pienet, suuret ja yleisemmät parannusmahdollisuudet. Saatat saada puhtaan laskun tai sinua pyydetään tekemään muutamia muutoksia ennen kuin jatkat. Se voi olla pelottavaa kuin ajokokeen suorittaminen, mutta muista, että olet loistavassa paikassa osoittaaksesi, että hallitset ISMS:si. Olettaen, että selviät siitä, siirryt vaiheen 2 auditointiin.
Vaiheen 2 auditoinnit ovat, kun ulkopuolinen tarkastaja testaa ja tutkii ISMS:si käytännössä. Tämä auditointi sisältää otannan auditoinneistasi, tarkasteluistasi ja tapahtumistasi, haastattelut ja havainnot asianomaisen henkilöstön kanssa, testausprosessit, jotta he osoittavat, mitä ISMS:n käytännöissä ja valvonnassa on kuvattu. Tästä syystä on erittäin tärkeää, että sinulla on käytännölliset käytännöt ja hallintalaitteet, jotka on suunniteltu toimimaan haluamallasi tavalla ja turvallisesti.
Jos ISMS:ssäsi on epäjohdonmukaisuuksia käytäntöjen kuvauksessa ja käytännön esittelyssä, näet nämä poikkeamat. Poikkeamien vakavuus ja niiden kokonaismäärä johtaa siihen, että auditoija antaa sinulle sertifikaatin ja aikaa parantaa tiettyjä osia seuraavaa valvonta-auditointia varten tai päättää olla myöntämättä sertifikaattia ollenkaan, eli epäonnistuu.
Valvontaauditoinnit ovat enemmän kuin vaiheen 2 auditointeja, ja niissä on painopistealueita, joissa tarkastajia pyydetään tarkastelemaan tarkemmin, esim. toimitusketjuun, GDPR:ään liittyviin asioihin jne. Ja sitten sykli jatkuu uudelleen perusteellisella uudelleensertifiointiauditoinnilla osoitteessa 3. vuosi. Tämän ei pitäisi olla yllättävää tai vaikeaa saavuttaa onnistuneita tuloksia, jos noudatat ISMS.onlinen hallintakäytäntöjä ja olet kehittänyt ISMS-käytäntösi ja -hallintasi kulttuurisi ja loppukäyttäjien tarpeita ajatellen.
Kaikki edellä mainitut ja paljon muuta käsitellään Virtual Coach -ohjelmassamme. Jos tarvitset lisäapua missä tahansa toteutusvaiheessa, meillä on yksinkertaisia ja joustavia tukipaketteja tarpeidesi mukaan.
ISO 27001:2013 9.3 kuvaa selkeästi, mitä johdon tarkastukseen kuuluu, mutta silti monet ihmiset unohtavat peittää ne asiat tai näyttää tiedot riittävän hyvin. Kokemuksemme mukaan kyse on kahden asian saamisesta oikein:
Katsauksen kattaman sisällön osalta ISO 27001 9.3 sanoo, että johdon arvioinnissa on otettava huomioon kuusi seuraavaa elementtiä:
Johdon arvioinnin tulosten tulee sisältää jatkuvaan parantamiseen liittyvät päätökset ja tietoturvan hallintajärjestelmän muutostarpeet.
Kun ISO sanoo "pitää", se tarkoittaa yleensä "täytyy" ja kun se sanoo "harkinta", se tarkoittaa, että sinun on esitettävä työsi näiden kuuden elementin parissa ja säilytettävä todisteet dokumentoituna tietona.
Myös johdon tarkistusten tiheys on tärkeä. Liian usein ja sen hoitaminen on kallista, jos joudut kokoamaan kaikki osallistujat kokouksiin ja raporttien laatimiseen jne. Liian harvoin ja luultavasti menetät ISMS:si hallinnan. Saatat kärsiä joko suuremman riskin omaisuudesta tai päädyt merkittävämpiin ylläpitokustannuksiin kuin "vähän ja usein" vaihtoehto tuottaisi.
Enimmäistiheydelle ei ole vaatimusta, mutta muodollisen ISMS Management -tarkastuksen vähimmäistiheys on vuosittain.
Jos käytät ISMS:ää online-tilassa, jossa kaikki osa-alueet kuuluvat integroituun järjestelmääsi, myös varsinainen Management Review -prosessi on helppoa.
ISMS.onlinessa on myös esikonfiguroituja työtiloja, joissa sinua kehotetaan noudattamaan ISO 27001:2013 9.3:n mukaista johdon tarkistuslistaa, ja voit nopeasti linkittää aloitealueilta saatuihin todisteisiin, mikä säästää huomattavasti aikaa raportteja.
Yksi muista asioista, jotka toimivat hyvin ISMS.onlinen kanssa, on työ, joka tehdään valmisteltaessa johdon arviointeja, online-keskusteluja, tehtävien suorittamista, ulkoisten asiakirjojen lataamista päätöksenteon avuksi ja tulevan tarkasteluaikataulun laatiminen. Kaikki toimet ja päätökset ovat myös helposti todettavissa – ei tarvitse ikäviä raportteja ja minuutteja seurata viikkoja myöhemmin; kaikki tapahtuu reaaliajassa. Auditoijat rakastavat tämän tason sitoutumista ja luottavat prosessiin ja sisältöön, joka osoittaa, että ISMS:si toimii.
ISO 27001 on johtamisjärjestelmä kaikenkokoisille organisaatioille yhdestä henkilöstä ylöspäin. Siksi se ei sanele vaadittuja erityisiä "rooleja", vaikka tietoturvan hallintavastuu on jaettava. Monet organisaatiot yhdistävät nämä vastuut olemassa oleviin rooleihin, ja toiset saattavat päättää, että se ansaitsee erityistä huomiota yksinään. Myös muut aloitteet, kuten GDPR, voidaan ottaa huomioon työhön, koska päällekkäisyyksiä on monia. Rooleja ja vastuita on elinkaaren aikana kahdessa muodossa:
Haluat varmistaa, että sinulla on itseluottamusta, kykyä ja kapasiteettia ISMS-järjestelmän onnistuneeseen toteuttamiseen, ja voimme auttaa kaikissa näissäkin koko elämän ajan, jos tarvitset sitä:
Luottamusongelmat: Noudata ARM-lähestymistapaamme Virtual Coach -ohjelman ohjeiden mukaisesti ja ota ISMS.online käyttöön suosittelemallamme tavalla ja huomaat, että luottamus kasvaa hyvin nopeasti.
Kykyongelmat: Virtual Coach ja ISMS.onlinen materiaalit lieventävät monia kykyongelmia. Jos tarvitset lisäapua, pyydä se poikkeuksellisesti joltakin kumppaniltamme tai meiltä.
Kapasiteettiongelmat: Olemme tehneet kaikkemme auttaaksemme sinua säästämään aikaa ja pitämään resurssisijoituksesi kriittisimmässä työssä. Jos kapasiteetti on kuitenkin edelleen ongelma, tai haluat ulkoistaa enemmän toteutusta tai saada tukea jatkuvaan hallintaan (esim. virtuaalisena CISO:na), kumppanimme voivat auttaa.
ISO 27001:n nykyinen versio on edelleen vuoden 2013 versio. Tämä on 27001-versio, jonka olemme kehittäneet ISMS.online-sivustolle tänään ja jatkamme palvelujen päivittämistä sitä mukaa, kun muutoksia tai uusia versioita julkaistaan.
Sinulla on mahdollisuus pysyä nykyisessä versiossa tai siirtyä sitä mukaa, kun uusia versioita julkaistaan. Tämä voi olla yhtä yksinkertaista kuin säädät olemassa olevia puitteita, jos muutokset ovat pieniä, tai suurempien muutosten osalta pyrimme tarjoamaan apua asiakkaille ja pitämään muutoksen kustannukset mahdollisimman pieninä.
Loppujen lopuksi meidän on myös siirrettävä oma ISO 27001:2013 -sertifioitu ISMS! Muista, että ISO on hyvin perehtynyt standardiensa kehittämiseen ja siirtymäjaksot voivat olla 2-3 vuotta, mikä tarkoittaa, että vaihdolle on runsaasti aikaa, jos tarvitset hieman pidempään.
ISMS.online-alusta on täynnä sisältöä, joka selittää ISO 27001:n ja näyttää, kuinka sen vaatimukset täyttyvät. Se on yksinkertainen, helppokäyttöinen ja asiantuntijoiden luoma. Et tarvitse ulkopuolista koulutusta, koska harjoittelet itseäsi sen aikana. Sen sijaan, että viettäisit aikaasi seuraavien vaiheiden pohtimiseen, kilpailet ensimmäisen kerran ISO 27001 -menestyksen eteen. Ja olemme varmistaneet, että se kaikki on myös yllättävän edullista.
ISMS-malleilla ja työkalusarjoilla on etunsa, mutta ne voivat myös olla hämmentäviä ja vaikeita hallita. ISMS.onlinen yksinkertaistettu, turvallinen ja kestävä alusta tarjoaa sinulle paljon enemmän kuin ne, mukaan lukien täyden tuen, sisäänrakennetut hallintatyökalut ja selkeän polun sertifiointiin asti. Sen sijaan, että viettäisit aikaasi seuraavien vaiheiden pohtimiseen, kilpailet ensimmäisen kerran ISO 27001 -menestyksen eteen. Ja olemme varmistaneet, että se kaikki on myös yllättävän edullista.
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa
