5 bästa tips för att uppnå ISO 27001-certifiering
Följ vägen som har lagts ut av Sam Peters, vår chef för produkter och tjänster, för en enkel resa mot certifieringsframgång.
Börja alltid med en plan
ISO 27001-certifieringsprocessen kan vara ganska komplex och utmanande. Du måste hålla många tallrikar igång. Så innan du börjar behöver du en implementeringsplan som tar dig igenom allt. Ställ dig själv frågor som: Hur implementerar vi ISO 27001? Vad behöver vi tänka på i varje skede av revisionsprocessen? Hur kommer vår arbetsbelastning att se ut och när vill vi uppnå detta senast? Du bör ha en bra uppfattning om vad du vill och behöver åstadkomma före, under och även efter certifieringen.
Behandla det som en affärsförbättringsövning
Det finns mycket att ta till sig ISO 27001 . Att se det som en affärsförbättringsövning, snarare än att bara kryssa i många rutor, hjälper dig att ta in allt och engagera dig i det. Det kan hjälpa dig att skapa affärsprocesser och förhållningssätt på mer strukturerade, genomtänkta sätt. Vi har sett enorma förbättringar i vår egen verksamhet genom att göra det. Du kommer inte att få ut lika mycket av det om ditt tillvägagångssätt är: 'Jag gör det här bara för att möta dessa krav av standarderna".
Ta med dig din organisation
Alla måste förstå och följa din infosec policy och kontroller. Din organisations medarbetare kommer att vara dess största säkerhetsstyrka. Men bara om du utrustar dem med allt de behöver vara behörig och kapabel. Och du behöver ett ledarskap, det är en viktig del av standarden. I själva verket är det en granskad del av standarden.
Så dina policyer och kontroller får inte vara för tekniska. De måste berätta för människor utan aning om det tekniska vad de måste göra och varför det är så viktigt. Och dina högre chefer måste engagera sig i allt och skriva under. Ju enklare du gör det att följa, desto mer sannolikt är det att du följer, både internt och med certifieringsprocessen.
Dela rätt information med rätt personer
Först bad vi all personal att läsa igenom varje enskild policy och kontroll. Det är mycket läsning! Och sedan ber du dem att ta reda på vad som är viktigt för dem. Så med tiden har vi förfinat det. Vi ber bara människor att läsa de policyer och kontroller som är relevanta för deras roller. Så du ber bara folk att ta in det som är relevant för dem, vad de faktiskt behöver veta och agera utifrån. Jag tror att det är ganska viktigt. Åh, och naturligtvis kan de fortfarande läsa resten av den om de vill.
Kom ihåg att allt handlar om risk
ISO 27001 är en riskbaserad standard. Det är lätt att tappa ur sikte när du är djupt inne på certifieringen. Så allt du gör bör minska en risk som din organisation står inför. Ibland kan du få det tvärtom, du slutar tänka: "Jag måste implementera den här kontrollen för det är vad standarden säger". Men standarden säger det bara på grund av en verklig risk. Du kryssar inte i imaginära rutor, du skyddar faktiskt din organisation. Så ibland kommer det att hjälpa dig att tänka på det hela på ett mer konstruktivt sätt att börja med riskerna och arbeta tillbaka från dem.
Sam Peters – chef för produkter och tjänster
En av de längst tjänstgörande medlemmarna i ISMS.online Sam har nästan tjugo års erfarenhet av att lansera SaaS-lösningar på marknaden. Innan du specialiserar dig på informationssäkerhet, Sam hade digitala roller i både den offentliga och privata sektorn och arbetade inom finans, utbildning och brottsbekämpning. På den lilla fritid han har tycker Sam om att cykla och umgås med sin unga familj.
