Tärkeimmät vinkkimme ensimmäistä kertaa ISO 27001 Stage 2 -auditoinnin onnistumiseen

Jos olet menossa ISO 27001 -sertifikaatti, vaiheen 2 auditointisi on yksi suurimmista murroksen kohdista. Sinun on osoitettava, että ISMS on enemmän kuin vain hyvin kirjoitettuja asiakirjoja ja yleisiä hyviä aikomuksia. Sen on toimittava yhtä hyvin käytännössä kuin paperillakin.

Vuosien varrella olemme auttaneet monia asiakkaita saavuttamaan ensimmäisen vaiheen 2 auditoinnin menestyksen. Ja osa meidän ISO 27001 asiantuntijat ovat olleet itse sertifiointielinten auditoijia, joten tunnemme prosessin erittäin hyvin molemmilta puolilta. Olemme hyödyntäneet sitä jakaaksemme:

  • Stage 2 tilintarkastus parhaat vinkit
  • ISO 27001 Starter-for-XNUMX -tarkistuslista

Muista peittää kaikki olennaiset asiat

Tarkastajasi tarkastelee ISMS:si jokaista osaa. He keskittyvät erityisesti sen ydinkomponentteihin. Jos ne eivät ole kunnossa, he eivät suosittele sinua sertifiointiin. Joten kun valmistaudut auditointiin, varmista erityisesti:

Riskienhallinta

Jotta infosec-puolustus toimii, sinun on ymmärrettävä, miltä suojaat itseäsi. Joten käy läpi omasi riskienhallinta sisältöä ja prosesseja hienolla hammaskammalla.

Varmista, että olet:

Vahvuuksien hallinta

ISMS-tietosi näyttää sekä sisäänpäin että ulospäin. Tarkastajan on nähtävä, että ymmärrät tarkalleen, mitä suojaat. Tarkista siis, että olet tallentanut ja ymmärtänyt kaiken tietovarat.

Muista, että organisaatiosi tietovarat ovat enemmän kuin pelkkä IT-ohjelmisto ja laitteisto. Luettelo voi sisältää kaikkea asiakkaasta ja toimittajasta sopimuksiin aineettomiin hyödykkeisiin, kuten brändiisi ja maineesi. Varmista, että olet sisällyttänyt kaikki!

Tapahtumien hallinta

Tarkastajasi tarkistaa, että ISMS:si toimii käytännössä. Heidän on siis varmistettava, että sinä ja kollegasi tiedätte tarkalleen, mitä tehdä, kun pahin tapahtuu ja sokeri osuu tuulettimeen.

Sinun tulee olla täysin varma, että sinun vaaratilanteiden hallinta prosessit ovat aivan tyhjästä. Tämä tarkoittaa kiinnittämistä:

  • Milloin ja miten ne laukeavat
  • Kuka tekee mitä ja milloin, kun uusi tapaus tapahtuu
  • Kuinka tallennat ja opit vastauksestasi kuhunkin tapaukseen, jotta voit:
    • Paranna ISMS:ääsi
    • Varmista, että toistoilla on vähemmän tai ei ollenkaan vaikutusta

Oikein sänkysi ISMS:ssäsi

Tarkastajan tulee nähdä, että ISMS toimii käytännössä. Varmista, että näin on, anna sen käydä jonkin aikaa. Anna itsellesi vähän aikaa ja tilaa rakentaa luottamusta ISMS:ään ennen kuin näytät sen tarkastajallesi.

Rakennat itseluottamusta kahdella tavalla. Osittain se tulee luonnostaan, kun valvot ISMS:ääsi, katsot mikä toimii ja korjaat sen, mikä ei toimi. Mutta sinun pitäisi myös rastittaa joitain muodollisempia ruutuja. Varmista, että olet suorittanut:

  • Yksi tai useampi sisäiset tarkastukset ja hallintajärjestelmien katsaukset
  • Asianmukainen henkilöstön koulutus ja sitouttaminen

Tämä toinen luoti on erityisen tärkeä. ISMS on tehokas vain, kun ihmiset ymmärtävät sen ja noudattavat sitä. Varmista siis, että ihmiset tietävät:

  • Mitä varten se on
  • Miksi sillä on niin paljon merkitystä
  • Mitä käytäntöjä ja valvontaa heidän on noudatettava
  • Täsmälleen kuinka seurata niitä

Varmista, että ISMS tekee todellisia muutoksia

Organisaatiot luovat ISMS:itä, koska ne eivät ole tarpeeksi turvallisia ilman niitä. Turvallisiksi tuleminen tarkoittaa heidän suhtautumistaan ​​turvallisuuteen. Tämä luo erittäin yksinkertaisen tavan tarkistaa, onko ISMS-järjestelmäsi auditointivalmis. Kysy itseltäsi:

Onko mikään oikeasti muuttunut?

Tehokas ISMS luo näkyviä, käytännöllisiä muutoksia organisaatiosi toimintaan. Nämä muutokset vaikuttavat sekä sen sisäisiin että ulkoisiin prosesseihin ja suhteisiin. Niiden pitäisi olla sinulle hyvin ilmeisiä.

Jos ISMS on luonut käytännöllisiä, positiivisia, ilmeisiä muutoksia, se on askeleen lähempänä auditointivalmiutta. Mutta jos se vain merkitsi uudelleen olemassa olevaa turvajärjestelmät, sinulla on luultavasti enemmän työtä tehtävänä.

Älä ole huolissasi lukituksista, jotka vaikuttavat auditointiisi

Vaiheen 2 auditoinnit ovat aina olleet perusteellisia ja paikan päällä. Se on vaikeaa nykyaikaisessa, Covid-tartunnan saaneessa maailmassamme. Mutta älä anna sen huolestua.

Sertifiointielimet ovat selkeästi sanoneet, että auditointiprosessin tulee jatkua normaalisti organisaation sulkutilasta riippumatta. He auditoivat mielellään organisaatiosi etänä ja tekevät yhteistyötä kanssasi voittamaan mahdolliset haasteet.

Etätarkastus tekee entistä tärkeämmäksi täysin läpinäkyvän, helposti saatavilla olevan, kaikki yhdessä paikassa toimivan ISMS:n, kuten (meistä tuntuu, että meidän pitäisi mainita) meidän alustamme voisi auttaa luomisessa. Ja jos olet jo kanssamme, se sinulla on jo.

Älä lopeta vaiheen 2 auditoinnin jälkeen

"Monet organisaatiot läpäisevät auditoinnin, juhlivat kaikkea kovaa työtään ja… periaatteessa unohtavat kaiken ISMS:nsä. Kaikki palaavat päivätyöhönsä. Sitten, kymmenen kuukautta myöhemmin, on suuri paniikki, kun heidän on valmistauduttava ensimmäiseen huoltotarkastukseen.

ISMS ei ole tule ja unohda -järjestelmä. ISO 27001 -sertifikaatin ylläpitämiseksi sen on:

  • Ota oppia kaikista infosec-tapauksista
  • Kehitä, kun sen emoorganisaatio kasvaa ja muuttuu
  • Ota huomioon kaikki uudet infosec-uhat ja -kehitykset

Sanomme usein, että ISMS:n ylläpitäminen on yhtä suuri haaste kuin sen käynnistäminen. Varmista, että se on haaste, johon olet valmis!

Seuraa Starter for-27001 ISO XNUMX -tarkistuslistaamme

Olemme antaneet sinulle yleisiä vinkkejä vaiheen 2 auditointiin valmistautumiseen. Päätämme tiettyihin ohjeisiin. Tämä taulukko on aloitusopas kymmenelle ISMS-järjestelmän tarkistamiseen ISO 27001 -standardi. Se auttaa sinua keskittymään, kun ajattelet sen jokaista osaa.

 

ISO 27001 viite & Kuvaus

Lauseke 10.1

Onko kaikki vaiheen 1 tarkastuksesi havainnot kirjattu, hallittu ja seurattu?

Onko kaikki merkittävät poikkeamat käsitelty loppuun asti?

Ovatko vähäiset poikkeamat joko suljettuja tai raiteilla niiden mukaan korjaava toimenpide suunnitelma?

Lauseke 5

Toimivatko kaikki ajoitetut prosessit oikea-aikaisesti riittävän resurssitason osoittamiseksi?

Kohdat 6.1, 8.2 ja 8.3

Näyttääkö riskirekisterisi tarkan nykyisen kuvan riskitasoista (eli olet riskien päivittäminen muutosta vastaan ​​ja riskihoidon parannukset)?

Lauseke 6.2

Oletko saavuttaa tietoturvatavoitteesi?

Lauseke 7.2

Suljetko yhtään tietoturva osaamispuutteita?

Lauseke 7.3

Käytätkö tietoturvaa tietoisuus kuvailemasi ohjelma?

Lauseke 9.1

Oletko ottanut ja arvioinut omasi ISMS-suorituskykymittaukset?

Kohdat 9.2, 10.1 ja 10.2

Oletko suorittanut vähintään kaksi sisäiset tarkastukset auditointiaikataulusta?

Kirjasitko, seuraatko ja hallinnoitko kaikkia löytöjäsi?

Sinun ei välttämättä tarvitse tehdä havaintoja, jotka vaativat merkittäviä parannuksia, mutta sinun on osoitettava, että toimenpide on suunniteltu tai käynnissä.

Kohdat 9.3, 10.1 ja 10.2

Sillä on vähintään yksi virallinen ISMS Johdon katsaus on tapahtunut standardin vaatimusten mukaisesti?

Oletko kirjannut, seurannut ja hallinnoinut kaikkia löydöksiä?

Liite A Valvonta

Voitko osoittaa todisteita siitä, että käytät jokaista valvontaa ja asiaankuuluvaa prosessia tehokkaasti?

Missä sinun on tehtävä parannuksia, voitko osoittaa, että seuraat ja hallitset niitä?

A.16. Tietoturvahäiriöiden hallinta

Voitko osoittaa, että kun tapauksia tapahtuu, kirjaat, seuraat, hallitset niitä ja vastaat niihin ajan myötä?

Päätös… ja onnea!

Olemme pohtineet paljon vaiheen 2 auditointia, koska olemme rakentaneet meidän alustamme auttaaksemme asiakkaitamme sen läpi. Itse asiassa jokainen asiakas, joka on seurannut meitä Varmennettujen tulosten menetelmä on läpäissyt sertifioinnin ensimmäisellä yrityksellään.

Ja kaikkea ei tarvitse aloittaa alusta. Olemassa olevan työn siirtäminen alustallemme on helppoa. Voit siirtyä toiselle puolelle milloin tahansa, vaikka olisit suorittanut vaiheen 1 auditoinnin saavutti ISO 27001 -standardin sertifioinnin.

Ja siinä se. Jos tämä blogiviesti auttaa sinua vaiheen 2 auditoinnissa, kerro siitä meille – me rakastamme kuulla, kuinka organisaatiot pärjäävät. Meidän ei tarvitse muuta kuin toivottaa sinulle onnea! Olemme varmoja, että kaikki kova työsi tuottaa tulosta.

 

Oletko valmis näkemään, kuinka voimme auttaa sinua saavuttamaan ensimmäisen vaiheen 2 menestyksen?

Varaa esittely ilman merkkijonoja nähdäksesi alustamme toiminnassa. Ja olemme yllättävän edullisia. Voit hakea tarjouksesi täältä.

« Kuinka tehdä ISO 27001 -hallintakatselmus

5 parasta vinkkiä ISO 27001 -sertifikaatin saavuttamiseen »

Viimeksi muokattu: 7. helmikuuta 2022
kirjailija

Al Robertson

Al on ammattikirjailija ja julkaistu kirjailija, joka kattaa useita aiheita. Hän on kirjoittanut useita artikkeleita vaatimustenmukaisuudesta ja erityisesti tietoturvasta ja siitä, kuinka ISO 27001 -sertifiointi voi auttaa organisaatioita kasvamaan.

Näytä kaikki Al Robertsonin viestit

Aiheeseen liittyvät julkaisut

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja