Hur 4way Consulting banade väg för framgång enligt ISO 27001

4way Consulting levererar specialiserad teknikkonsultrådgivning och support, och förbättrar säkerheten, tillförlitligheten och tillgängligheten för transporttjänster i Storbritannien. Verksamheten stöder lokala och centrala myndigheter i att hantera transportnätverk genom implementering av teknik. Teamet på cirka 45 personer är huvudsakligen baserat i Manchester och Birmingham.

4way Consulting-teamet ville implementera ISO 27001 för informationssäkerhetshantering för att komplettera sin befintliga ISO 9001-certifiering för kvalitetsledning.

De övervägde också ISO 45001 för arbetsmiljöledning, eftersom företaget hade ett befintligt arbetsmiljöledningssystem som innehöll material från vilket de kunde bygga upp sin efterlevnad. Eftersom företaget hanterade känslig information var ISO 27001-certifiering avgörande för att visa att 4way Consulting tillämpade bästa praxis för informationssäkerhet. De behövde ett sätt att implementera standarden strategiskt och spara både tid och resurser.

”Vi behövde fastställa det mest kostnads- och tidseffektiva sättet att uppnå certifiering”, sa Ian Pengelly, teknisk chef för digitalt arbete på 4way Consulting. Ett alternativ som Ian och teamet övervägde var att bygga sitt informationssäkerhetssystem (ISMS) från grunden. Ett alternativ var att använda det SharePoint-baserade system som användes av ett systerföretag. Inget av dessa alternativ erbjöd den effektivitet eller centralisering som teamet ville uppnå.

4way Consulting-teamet använde IO-plattformen för att implementera ISO 27001 och håller på att implementera ISO 45001, samt migrera sitt befintliga ISO 9001-ledningsarbete till plattformen. 

Teamet använde 11-stegsmetoden Assured Results Method (ARM) för att vidareutveckla sin ISO 27001-efterlevnad, samt skräddarsy plattformens färdiga policy- och kontrollmallar.

Företaget använde även plattformens riskregisterfunktion för att skapa en sammanfattning över ISO 27001, ISO 45001 och ISO 9001. De skapade ett nytt kluster inom IO-plattformen och kopplade detta till sina standarders riskregister. Detta gav ett konsoliderat riskregister som sedan kunde filtreras ner till de högst rankade riskerna och användas som ett företagsriskregister, vilket gjorde det möjligt för ledningsgruppen att bedöma och åtgärda dessa risker oftare.

Den intuitiva IO-plattformen hjälpte också verksamheten att koppla samman sina risker, tillgångar och kontroller, vilket gav tydlighet i hur 4way Consulting hanterade risker i enlighet med standardernas krav.

Dessutom är medarbetarnas medvetenhet och engagemang avgörande för fortsatt efterlevnad av ISO-standarder; 4way Consulting skräddarsydde sin strategi för medarbetarnas lärande baserat på sina policyer och rutiner i IO-plattformen.

De delade sin dokumentation med de anställda, som undertecknade ett bekräftelsedokument för att bekräfta att de hade läst och förstått varje dokument, samtidigt som de kunde ge feedback på områden där de behövde ytterligare förtydliganden. Detta gjorde det möjligt för dem att logga denna feedback, uppdatera dokumenten och spåra versioner inom IO-plattformen, vilket gav ytterligare bevis på medarbetarnas engagemang och stödde deras certifiering.

Företaget utvecklar också sitt lärplattformssystem (LMS) med interaktivt videoinnehåll, vilket möjliggör ytterligare feedback, spårar medarbetarengagemang och kan loggas som bevis på efterlevnad.

4way Consulting uppnådde ISO 27001-certifiering på 17 månader, även om teamet uppskattar att detta skulle ha tagit cirka 10 månader med mer tillgängliga resurser.

Ian berättar att plattformens användarvänlighet ledde till en effektiviserad revisionsprocess:

ISO-standarder kräver ständig förbättring, så teamet fokuserar sina ansträngningar på att förfina sin efterlevnad av ISO 27001, genomför regelbundna granskningar av risker och kontroller samt utvärderar verksamhetens riskregister. IO-teamet fortsätter att stödja 4way Consulting i takt med att Ian och teamet utvecklar sitt informationssäkerhetssystem (ISMS) och ser fram emot nästa steg: ytterligare ISO-certifieringar.

Ian och 4way Consulting-teamet fortsätter att implementera ISO 45001 för arbetsmiljöledning.

De fortsätter också att migrera sin ISO 9001-kvalitetsledning till IO-plattformen. Teamet skapar också utbildningsvideor med hjälp av utbildnings- och utvecklingsteamet för att stödja introduktionsprocessen för anställda, upprätthålla befintlig medarbetarmedvetenhet och säkerställa att leverantörer följer 4way Consultings informationssäkerhetskrav.