ISO 27001 Yksinkertaistettu: Assured Results Method (ARM) -opas

Otatko ISO 27001 käyttöön etkä ole varma mistä aloittaa?

Yksi yleisimmistä kysymyksistä, joita organisaatiot, jotka ovat uusia tietoturvan hallinnassa, kysyvät, on "Mistä aloitan". ISO 27001: 2013?' Kansainvälisesti tunnustetun standardin riippumattoman sertifioinnin saavuttamiseksi on suoritettava noin 140 asiaa. Jotkut vievät 2 minuuttia, ja toiset voivat kestää päiviä tai viikkoja riippuen organisaation lähtökohdasta ja monimutkaisuudesta. Ei siis ihme, että kiireiset ihmiset saattavat tuntea olonsa ylikuormituiksi ja epävarmaksi siitä, mitä heidän pitäisi tehdä – ja miten se tehdään – samalla kun he optimoivat resursseja, kustannuksia ja riskejä.

Mitkä ovat mahdolliset reitit ISO 27001 ISMS:n toteuttamiseen?

Suosittu reitti on "tietoturvan hallinnan aukkojen analyysi", jossa käytät paljon aikaa ja rahaa aukkojen etsimiseen. Mutta saat silti vain aukon analyysin (luultavasti tulokset vaikeasti navigoitavassa ja hallittavassa laskentataulukossa) etkä liikettä eteenpäin, ISMS. On olemassa parempi tapa.

Toinen yleinen tapa on välttää aukkoanalyysiä ja mennä vain toimitukseen. Jotkut organisaatiot aloittavat luomalla kaikki 93 Liite A valvontaottamalla käyttöön politiikat, prosessit ja menettelyt ensin. Tämä on kuitenkin myös epäoptimaalista ja voi viedä aikaa, varsinkin jos yrityksellä ei ole riskejä siellä, missä näitä valvontatoimia voitaisiin soveltaa. Tämä on "alhaalta ylös" -lähestymistapa, ja ehdotamme aina, että se noudattaa "ylhäältä alas" -perusvaatimuksia.

ISO-standardi alkaa johdattaa sinut ylhäältä alas -prosessin läpi hyvin, jos aloitat alusta ISO 27001 -standardin perusvaatimuksilla. Perusvaatimukset (hallintalausekkeet) kattavat kuitenkin toiminnan täytäntöönpanon jälkeen, joten ne ohjaavat huomion sertifioinnin jälkeisten toimien (kuten seuranta, sisäinen tarkastus, tarkista ja paranna) ennen kuin alat edes käyttää ISMS:ääsi. Tämä on parempi, mutta ei paras tapa, kun sinulla on kiire tai haluat seurata tarkoituksenmukaisinta polkua. On olemassa parempi tapa varmistaa tulokset, joka ottaa parhaat puolet kaikista yleisistä käytännöistä ja välttää puutteiden analysoinnin tuhlauksen. Kutsumme sitä taattujen tulosten menetelmäksi – ARM.

Pyri pragmaattisuuteen, älä täydellisyyteen ensimmäisellä ISMS:lläsi

Usein, mutta ei aina, ISO 27001:n saavuttamisessa on ulkopuolinen tekijä, kuten tarjouspyyntö tai asiakaspaineet, jotka johtuvat toimitusketjun riskinottohalukkuuden muutoksesta (esim. tietoverkkorikollisuuden tai sääntelyn, kuten esim. GDPR). Ulkopuoliset kuljettajat tarkoittavat yleensä tiukkoja aikatauluja, joten täydellisyys on usein hyvän vihollinen saavutettaessa ISO 27001 -sertifikaatin menestys tiivistettyyn määräaikaan, varsinkin jos riippumattoman sertifioinnin jälkeen.

ISO 27001, kuten muutkin ISO-hallintastandardit, on jatkuvaa parantamista, ja se on pohjimmiltaan riskienhallintaan perustuva standardi. Joten pragmaattinen suhtautuminen liiketoimintariskiin (olettaen, että se on myös asiakkaiden hyväksyttävä) ja parantamisen osoittaminen osana johtamisjärjestelmää saa hyvän vastaanoton tilintarkastajilta. Se näyttää myös an organisaatio on hallinnassa ja tietoinen riskeistä. Sellaisenaan ARM korostaa käytännöllisyyttä täydellisen edelle ja antaa sinun helposti rakentaa sen, mitä sinulla on tänään. Sitten suunnittelet parannuksia ajan myötä, priorisoimalla riskin näkökulmasta.

Jos et tee tarpeeksi tänään, esikonfiguroitu ISMS.online-alusta, mukana toimitettava dokumentaatio ja valinnaiset Virtual Coach -palvelut auttavat sinua saamaan tuloksia paljon nopeammin ja pienemmillä kokonaiskustannuksilla kuin muut vaihtoehdot. Virtual Coach sisältää myös ARM-vaiheet menestykseen, joista on yhteenveto alla.

Teemme ISO 27001 -standardin saavuttamisesta helppoa

Hanki 77 % etumatka

ISMS-järjestelmämme on esikonfiguroitu työkaluilla, kehyksillä ja dokumentaatiolla, joita voit ottaa käyttöön, mukauttaa tai lisätä. Yksinkertainen.

Sinun polkusi menestykseen

Varmennettujen tulosten menetelmämme on suunniteltu saamaan sinulle sertifikaatti ensimmäisellä yritykselläsi. 100 % onnistumisprosentti.

Katso ja opi

Unohda aikaa vievä ja kallis koulutus. Virtual Coach -videosarjamme on saatavilla 24/7 opastamassa sinua.

Kuinka seurata ARM:ää nopeaan ja tehokkaaseen ISO 27001 -menestykseen

Vaihe 1: Kuvaile nykyistä organisaation tietoturvaympäristöä

V: Luo perusta tietoturvan hallinnan menestykselle

Tämä tarkoittaa, että ymmärrät organisaatiosi ja sen merkityksen tietoturva siihen. Se sisältää huomioita osapuolille, jotka ovat kiinnostuneita tietoturvan hallinnastasi, suojeltavista tietoresursseista, kohtaamistasi riskeistä ja huipputasostasi. Tietoturvapolitiikka.

Käytännössä tämä sisältää osoittamisen Kohta 4, kohta 5, ja ISO 6 -standardin lauseke 27001 sekä liite A 8, joka keskittyy tietojen luokitukseen ja tietoresurssien luetteloon. Jos et vielä pysty tekemään tätä, ISMS.online-alustalla on paljon sisältöä ja työkaluja, joiden avulla voit kuvata nämä alueet nopeasti. Se tarjoaa myös yleisimpien pankkien tietoturvariskejä, linkit asiaankuuluviin liitteen A ohjaimiin ja varmistaa ratkaisevasti, että otat käyttöön sellaisen lähestymistavan, joka sopii liiketoimintakulttuurillesi, riskinhalullesi ja halutuille työskentelytavoille.

B: Kuvaa nykyiset tietoturvakäytännöt ja -säädöt

Sinulla on jo joitain käytäntöjä ja säätimiä, vaikka ne olisivatkin implisiittisiä eivätkä hyvin dokumentoituja. Nämä perustuvat todennäköisimmin riskien huomioimiseen tai koettuihin "parhaisiin käytäntöihin" ja ammattitaitoisten työntekijöiden tietämykseen tai yksinkertaisesti terveen järjen lähestymistapoihin arvokkaiden tietojesi suojaamiseksi haitallisilta osapuolilta. Sitä ei ehkä ole tehty muodollisesti riskinarviointi tai dokumentoitu lähestymistapa. Joten tässä vaiheessa sinun on yksinkertaisesti kuvattava mitä teet tänään standardin yhteydessä politiikkoja ja valvontaa liite A ja linkitä se sitten takaisin tietoresursseihin ja otsikkoriskityöhön, jota teet perustan luomisessa.

Jos et voi helposti kuvailla kuinka työskentelevät tänään asiaankuuluvilla tietoturva-alueilla Riskianalyysisi perusteella et myöskään pysty osoittamaan sitä vaiheen 2 auditoinnissa, joten ulkopuolisella tarkastajalla ei ole muuta vaihtoehtoa kuin antaa vaatimustenvastaisuuksia ja mahdollisia virheilmoituksia. Se on yksi yleisistä ongelmista, joita organisaatiot kohtaavat, jotka vain ostavat tietoturvapolitiikan dokumenttien työkalupakkeja, jättävät ne sitten yhteiseen asemaan ja ajattelevat sen olevan tarpeeksi hyvä menestymiseen. se ei ole. Käyttökelpoinen dokumentaatio, sisältö ja valmiiksi rakennetut työkalut ISMS.online-alustan liitteen A ohjaimia varten auttavat ohjaamaan ajatteluasi. Ne antavat sinulle myös mahdollisuuden omaksua, mukauttaa tai täydentää sitä, mikä säästää valtavia määriä aikaa ja varmistaa ratkaisevasti, että se sopii yrityksellesi myös käytännössä.

C: Hyväksy tai mukauta jäljellä olevat ISO 27001 -standardin perusvaatimukset

Nyt voit palata taaksepäin ja kuvailla, miten lähestyt standardin jäljellä olevia ydinvaatimuksia, jotka keskittyvät enemmän operatiiviseen hallintoon ja tietoturvan hallintajärjestelmän jatkuvaan parantamiseen. Se sisältää kuinka käsittelet joitain hallinnollisesti tuskallisia, mutta tärkeitä ISMS:n näkökohtia sekä selvennetään tietoturvan hallintajärjestelmää tukevaa johtajuutta ja rooleja. Mahdollisesti tuskalliseen hallintoon kuuluu ISO 27001 -standardin lausekkeen 6.1.3 soveltuvuuslausunnon dokumentointi sekä prosessit täyttää kohdan 6 tietoturvatavoitteet perusvaatimuksista. Tässä osassa käsitellään myös toiminnan johtamista, sisäiset tarkastukset, johdon arvioita, korjaavia toimenpiteitä, poikkeavuuksia ja parannuksia tehdään.

Kuten muutkin ISO 27001 -standardin osat, ISMS.online on jo täyttänyt suuren osan vaatimuksista tässä, mikä tarkoittaa suhteellisen kivutonta lähestymistapaa, jossa on automaattinen raportointi ja käytännölliset esikonfiguroidut työtilat, jotka osoittavat tehokkaan toiminnan helposti. Se auttaa sinua saavuttamaan nämä lopulliset vaatimukset mahdollisimman lyhyessä ajassa.

Vaihe 2: Aloita ISMS-lähetys

Mitä nopeammin voit siirtää tietoturvan hallintajärjestelmäsi toimintatilaan, sitä nopeammin se voi muuttua "business as usual" ja osoittaa, että otat tietoturvan vakavasti. On todennäköistä, että sinun ISMS aloittaa toimintansa orgaanisesti prosesseilla, valvontaa ja käytäntöjä otetaan käyttöön koko toteutusjakson ajan, mutta on kuitenkin hyödyllistä ilmoittaa päivämäärä, jolloin ISMS:n katsotaan olevan "Live & Operational".

Edut ovat:

• Selkeästi määritelty "aloituskohta", jota ennen tilintarkastajien ei tulisi harkita ISMS-tarkastuksen laajuutta, eikä sitä tule dokumentoida havainnot noudattamatta jättämisestä ennen tätä päivämäärää
• Se keskittyy organisaation vastuullisiin osapuoliin siitä hetkestä lähtien, kun heidän odotetaan alkavan toimittaa todisteita vastuualueensa valvonnasta
• Mitä tahansa ennen tätä päivämäärää voit viitata suorittamasi tarkastuksen aikana "varhaiseksi omaksumiseksi"

Sinun ei tarvitse olla "täydellinen" "käyttöönottopäivänä", mutta kannattaa valita päivämäärä, jolloin suurin osa prosesseista, käytännöistä ja ohjauksista on valmiina käyttöön. On selvää, että parannuksia voidaan vielä tehdä tämän päivämäärän ja vaiheen 1 tai vaiheen 2 auditoinnin välillä.

Ihannetapauksessa päivämäärän tulisi olla vähintään 1 kuukausi ennen vaiheen 1 auditointia (joka on yleensä 1 kuukausi ennen vaiheen 2 auditointia). Tällä varmistetaan, että vaiheen 2 auditoinnin aikaan, todisteita on kertynyt vähintään 2 kuukautta.

Sovi ja dokumentoi ISMS:n virallinen "julkaisupäivä". Jos käytät ISMS.onlinea, suosittelemme, että otat sen talteen ja tallennat sen ISMS Board -alueelle ja ilmoitat siitä myös henkilöstöllesi esim. ISMS.online-konserniviestinnässä ja viittaat siihen, jotta tarkastaja voi nähdä pyydettäessä.

Vaihe 3: Suunnittele tietoturvaparannuksia

Kun kuvailet nykyistä tietoturvatoteutustasi, on erittäin todennäköistä, että olet tunnistanut parannuksia, joita tarvitset tai haluat tehdä. Näitä voivat olla riskien vähentäminen edelleen hyväksyttävälle tasolle, toiminnan tehostaminen tai jopa uusien mahdollisuuksien hyödyntäminen. Sen sijaan, että hidastuisit parantamaan tuolloin, olisit tehnyt muistiinpanoja näistä parannettavista alueista, ja nyt on aika suunnitella tietoturvaparannuksia. Tämä osoittaa, että hallitset ISMS:ää ja osoitat ylimmälle johdolle sekä ulkoiselle tarkastajalle, että kehityt jatkuvasti.

ISMS.onlinessa se rohkaisee kirjaamaan nämä parannukset "Korjaavien toimenpiteiden ja parannusten tielle" (tai jos ne ovat hyvin yksinkertaisia, lisää ne tehtäviksi asiaankuuluvaan riskinhoitosuunnitelmaan.) Osoittaaksesi tehokkaan hallinnan ja suunnittelun sinun tulee nyt tarkistaa kaikki kohteet ja määritä omistajat, priorisoi ne toimenpiteitä varten ja määrität valmistumispäivämäärät.

Priorisointiharjoituksen aikana tulee ottaa huomioon seuraavat asiat:

• Kuinka helppoa parannuksen toteuttaminen on
• Kuinka paljon riskinvähennystä tai muita etuja saavutetaan
• Jos parannustoteutus voidaan saattaa päätökseen sertifioinnin jälkeen (jossa riskinomistaja hyväksyy mielellään tavoitteen yläpuolella olevan riskitason, kunnes toteutus on valmis)
• Jos käyttöönotto on saatava päätökseen ennen ISO 27001 vaiheen 1 auditointia (parannuksia kontrollien kuvaukseen)
• Jos käyttöönotto on saatava päätökseen ennen ISO 27001 Stage 2 -auditointia (parannuksia säätöjen käyttöönottoon ja toimintaan)

Jos tunnistettuja parannuksia tarvitaan ennen vaiheen 1 tai vaiheen 2 auditointia, sinun tulee olla tyytyväinen siihen, että tämä voidaan saavuttaa ennen asianomaisen tarkastuksen varaamista. (Vaiheen 1 ja vaiheen 2 auditoinnit ovat tavallisesti noin 1 kuukauden välein).

Kun olet suorittanut vaiheen 3, olet todella hyvässä paikassa menestyäksesi vaiheen 1 auditoinnissa.

Vaihe 4: ISO 27001 -vaiheen 1 ja vaiheen 2 auditoinnit

Mikä on ISO 1:n vaiheen 27001 tarkastus?

Kun olet suorittanut vaiheet 1–3, olet loistavassa paikassa vaiheen 1 tarkastuksessa. Sertifiointielimen tarkastaja haluaa nähdä tietoturvan hallintajärjestelmän dokumentaation ja ymmärtää, että olet täyttänyt vaatimukset, ainakin teoriassa! Tämä vaihe on pikemminkin ISMS:n työpöytätarkastus auditoijan kanssa, joka kattaa pakolliset alueet ja varmistaa, että standardin henkeä noudatetaan. Edistykselliset sertifiointielimet alkavat tehdä näitä etänä alustoilla, kuten ISMS.online, mikä alentaa kustannuksia ja voi myös nopeuttaa prosessia. Tämän harjoituksen tulos on suositus vaiheen 2 auditointivalmiudesta (ehkä havainnoista, jotka on arvioitava uudelleen vaiheen 2 auditoinnin aikana) tai tarve korjata havaitut poikkeamat ennen kuin edistyminen voi tapahtua.

Mikä on ISO 2:n vaiheen 27001 tarkastus?

Vaiheen 1 auditoinnin suoritettuaan tilintarkastajalla on perusymmärrys organisaatiostasi, sen toiminnasta tietoturva-asento ja sen lähestymistapa tietoturvan hallintaan. He haluavat nyt nähdä, että teet todella sen, mitä sanot tekeväsi. Lisäksi he odottavat näkevänsä, että arvioit, kuinka tehokas ISMS on ja kuinka hallitset jatkuvaa parantamista. Vaiheen 2 tarkastuksen tavoitteena on osoittaa, että ISMS-järjestelmäsi toimii kuvatulla tavalla, standardin vaatimusten mukaisesti ja tarjoaa riittävän ja oikeasuhteisen tietoturvatason organisaatiosi kohtaamiin riskeihin nähden. Vaihe 1 on melko suoraviivainen, mutta Vaihe 2 tarkoittaa, että annat tarkastajalle sen varmuuden, että osoitat, että ISMS on elävässä hengittävässä muodossa ilmoittamassasi laajuudessa.

Viimeisenä ristiintarkistuksena ennen vaiheen 2 tarkastusta kysy itseltäsi nämä yksinkertaiset kysymykset:

1. Olemmeko saaneet päätökseen vaiheen 1 tarkastuksen kriittisiä havaintoja?
2. Voimmeko todistaa kaikkien vaadittujen ISMS-prosessien toiminnan?
3. Mitataanko ja saavutetaanko tavoitteita?
4. Pidetäänkö riskirekisteriä?
5. Is turvallisuustietoisuus ja koulutus käytössä oleville?
6. olemme pätevyyden puutteita olla kiinni?
7. Suoritetaanko sisäisiä tarkastuksia?
8. Ovat muodollisia ISMS Management Reviews suoritetaan?
9. Kirjataanko ja seurataanko korjaavia toimia ja parannuksia?
10. Voimmeko todistaa kaikkien asiaankuuluvien tietoturvaohjausten ja prosessien toiminnan?
11. Voimmeko osoittaa, että tapauksista, joissa tapaukset tunnistetaan, niitä kirjataan, seurataan, hallitaan ja toteutetaan ajan mittaan?
12. Voimmeko osoittaa, että olemme tyytyväisiä nykyiseen riskiprofiiliimme? Tuo on:
    • Riski on siedettävä ilman lisätoimenpiteitä tällä hetkellä
    • Onko riski tällä hetkellä siedettävä, kun otetaan huomioon tunnistetut parannukset, jotka on kirjattu ja joita toteutetaan tietyn ajan kuluessa?

Jos voit vastata "kyllä" näihin kysymyksiin, olet todennäköisesti valmis vaiheen 2 auditointiin.

Tarkastaja tutkii asiaa tarkemmin, testaa sitten lähestymistapaasi ja valitsee lähes varmasti henkilöstön osoittamaan, että he ovat koulutettuja, tietoisia ja noudattavat sääntöjä. On erittäin tärkeää, että henkilökuntasi ja muut piiriin kuuluvat henkilöt (esim. toimittajat) pystyvät osoittamaan, että he ymmärtävät, mistä löytää, ja noudattavat ilmoittamaasi politiikkaa ja menettelytapoja, jos tilintarkastaja sitä pyytää. ISMS.online tarjoukset Käytäntöpaketit vaatimustenmukaisuuden esittelyyn ja ISMS-viestintäryhmiin henkilöstön ja avaintoimittajien sitouttamiseksi aiheesta tietoturva. Todisteiden otos voi sisältää:

• Fyysiset tarkastukset (esim. työmaalla/toimistolla)
• Haastattelut ISMS:stä tai tietoturvasta vastaavien henkilöiden kanssa
• Haastattelut yleisen henkilöstön kanssa (esim. tietoisuuden tarkistamiseksi)
• Lokien ja tietueiden tarkastus (kaikki tyypit)
• Tarkastus teknisten ohjausten toteutuksesta (esim. konfiguraatiotiedostot)

Jos toimialueesi kattaa useita toimipaikkoja, sertifiointielin haluaa tarkastaa osan niistä, erityisesti sivustot, joissa on jokin keskeinen toiminto. He antavat tarkat tiedot, kun pyydät heiltä tarjousta.

Vaiheen 2 auditoinnista on kaksi tulosta:

1. Ei suositella sertifiointiin – Tämä on erittäin epätavallista, koska kaikki suuret ongelmat olisi pitänyt tunnistaa vaiheen 1 tarkastuksen aikana. Se tapahtuu, jos toimia vaiheen 1 tarkastuksen poikkeamien korjaamiseksi ei ole otettu. Hyvin satunnaisesti havaitaan aiemmin havaitsematon suuri poikkeama. Jos näin tapahtuu, sertifiointielin lopettaa lähes varmasti auditoinnin välittömästi ja kertoo yksityiskohtaisesti, mitä vaiheita ongelman ratkaisemiseksi tarvitaan. Pahimmassa tapauksessa vaiheen 2 tarkastus voi olla tarpeen suorittaa uudelleen.
2. Suositellaan sertifiointiin – Tämä tarkoittaa, että sertifiointielimen auditoinnin ja mahdollisen akkreditointielimen (esim. UKAS) tarkastelun perusteella saat sertifikaatin.

Saatat myös saada parannuskohteita tai pieniä poikkeamia, jotka tulisi korjata tilintarkastajan suositusten mukaisesti.

Mitä tapahtuu ISO 27001 Stage 2 -tarkastuksen jälkeen?

Jos sinua on suositeltu sertifiointiin… ONNEA! Nauti hetkestä, sillä on todella kovaa työtä rakentaa itsenäisesti sertifioitu tietoturvan hallinta, johon ihmiset voivat luottaa. Jos se olisi yksinkertaista, kaikki tekisivät sen, mutta eivät tee. Vaikka ISMS.online tekee koko matkasta paljon helpompaa ja nopeampaa, se on silti hieno saavutus, jota kannattaa juhlia.

Sen jälkeen sertifiointielin vertaisarvioi tarkastusraportin sisäisesti ja välittää raportin akkreditointielimelle (esim. UKAS), joka tarkastelee näytettä kustakin sertifiointielimestä varmistaakseen, että standardit noudatetaan. Kun akkreditointielin antaa hyväksyntäleimansa, myönnetään todistus. Tarkastus- ja sertifiointiprosessi kestää yleensä 3–4 viikkoa. Sertifikaatti on voimassa 3 vuotta ja saat valvontatarkastukset säännöllisin väliajoin, yleensä vuosittain.

Toistaiseksi voit jatkaa "juhlimalla ja rakentamalla menestystä", sillä ISMS on elinikäinen, ei vain ensimmäinen sertifikaatti. Se, mitä voidaan antaa, voidaan helposti ottaa pois, jos et ylläpidä ja paranna lähestymistapaasi ajan myötä, joten muista tehdä vähän, usein, niin huomaat sen integroituvan nopeasti hyvin hallittavaksi, positiiviseksi kokemukseksi sinulle ja organisaatiolle. .