Hur Utonomy uppnådde ISO 27001 första gången med ISMS.online

Utmaningen

Verksamheten förser kunder som är kritiska till nationell infrastruktur som möter stränga regulatoriska krav. Som sådan visste Utonomy-teamet att att uppnå ISO 27001-certifiering var ett måste för att visa företagets proaktiva informationssäkerhetshållning för kunder, intressenter och framtidsutsikter vid anbud.

Utonomy hade redan ett grundläggande informationssäkerhetshanteringssystem (ISMS) på plats på grund av det arbete teamet hade gjort för att uppnå Cyber ​​Essentials-certifiering. De visste dock att verksamheten behövde ett mer omfattande ISMS för att framgångsrikt uppnå ISO 27001-certifiering. Företaget behövde en plattform för att göra ISO 27001-implementering och löpande efterlevnad så enkelt som möjligt.

"Vi insåg att vi skulle behöva ISO 27001 när det gäller våra relationer med våra kunder; branschen blev mer säkerhetsmedveten. Vi hade gjort en hel del arbete kring Cyber ​​Essentials, men vi tänkte "vi kommer att behöva intensifiera vårt spel."

Steve Lewis Teknisk chef och IT-chef, Utonomy

Lösningen

Utonomy valde ISMS.online-plattformen för ISO 27001-efterlevnad och certifiering, och byggde ut alla sina ISO 27001-policyer, spårare och bevis under ett tak. Med hjälp av plattformens förbyggda policymallar som utgångspunkt utökade Steve och hans team mallarna för att passa Utonomys specifika säkerhetsmål och säkerställde att de hade omfattande kunskap om policyerna och kontrollerna som utgör organisationens ISMS.

”Vi har massor av saker i spårarna eftersom de är enkla att använda”, säger Steve Lewis, Utonomys tekniska chef och CISCO. ”Det betyder att de personer som behöver spåra säkerhetsincidenter sannolikt inte gör det någon annanstans, som en anteckning i en bok eller i ett av våra andra system. Och det gör det enklare att hantera och enklare att granska.”

Verksamheten migrerade produktriskdokumentation till ISMS.online för att proaktivt hantera produkthot och kontroller inom plattformen med hjälp av riskregistret och riskspårning. Med den länkade arbetsfunktionen kartlade Utonomy över 60 risker och tillhörande kontroller och kan nu enkelt övervaka och hantera produktrisker snarare än att uppdatera dokumentationen manuellt.

”I den här nya formen blir det mycket lättare att uppdatera när vi lanserar nya produktfunktioner eller produktförändringar. Det kommer att bli en mindre betungande, skrämmande uppgift att försöka arbeta igenom de saker vi behöver förändra.”

"Mallarna gav oss en struktur, och det var ett lärorikt sätt att se på en acceptabel beskrivning av en process, för när man kommer kallt är det alltid svårt att veta hur långt man måste gå med dokumentation."

Steve Lewis Teknisk chef och IT-chef, Utonomy

Resultatet

Utonomy uppnådde ISO 27001-certifiering första gången inom ett år och har framgångsrikt klarat två övervakningsrevisioner, vilket visar teamets engagemang för att kontinuerligt förbättra företagets säkerhetsställning.

Utonomy-teamet har nu börjat utforska nya sätt att använda ISMS.online för effektivare efterlevnad. Till exempel använder företaget funktionen policypaket för att leverera och övervaka personalens säkerhetsmedvetenhet och utbildning. Utonomy använder sedan dessa policypaket som bevis på att alla i verksamheten har genomfört den utbildning som krävs, eftersom policypaketet visar när en anställd har bockat av utbildningsaktiviteten.

Steve var mycket nöjd med deras upplevelse: ”Jag är väldigt nöjd med ISMS.online-plattformen, den gjorde vad den lovade och den hjälpte oss definitivt att få vår ISO 27001 första gången.”

Verksamheten samarbetade också med ISMS.onlines supportteam för att diskutera ytterligare en skräddarsydd funktion för att stödja verksamhetens hotmodelleringsmöjligheter och implementerade dessa funktioner när ISMS.online-supporten tillhandahöll detta inom en kort tidsram.

"ISMS.online tekniska support är oöverträffad, första linjens support killar är mycket kunniga om produkten och extremt hjälpsamma. Imponerande nog, när jag har behövt göra något som inte tekniskt stöds av produkten, har de arbetat bakom kulisserna för att hjälpa mig och lösa mitt problem inom några dagar.”

Steve Lewis Teknisk chef och IT-chef, Utonomy

Genom att förnya sig med ISMS.online-plattformen, samt hantera ISO 27001-efterlevnad, fortsätter Utonomy att visa sin starka säkerhetsställning för externa revisorer och positionerar sig som en pålitlig leverantör för sina kritiska nationella infrastrukturkunder.

Utonomy fick också mycket beröm av en oberoende konsult som granskade sina säkerhetsåtgärder som en del av ett pilotprogram för säkerhet inom nystartade innovationer. Genom att ge honom begränsad tillgång till sitt ISO 27001-projekt i ISMS.online fick Utonomy en extremt positiv rapport.

Vad kommer härnäst?

Efter att ha slutfört sin ISO 27001:2013 övervakningsrevision förbereder sig Utonomy för att uppdatera till den senaste versionen av ISO 27001, 2022 års iteration av standarden.

Steve och hans team kartlägger också företagets produkt- och ISMS-kontroller till National Cybersecurity Centres Cyber ​​Assessment Framework. Teamet kan sedan producera färdigt innehåll för att hjälpa kunder att slutföra riskbedömningar kring Utonomy som leverantör och visa hur produkten överensstämmer med ramverket.