ISO 27001-certifiering, förenklad

ISO 27001-certifiering

Certifieringen visar en organisations engagemang för ständig förbättring, utveckling och skydd av informationstillgångar/känsliga data genom att implementera lämpliga riskbedömningar, lämpliga policyer och kontroller.

En ISO 27001-certifierad organisation annonserar till världen som de är betrodda, har implementerat ett Information Security Management System (ISMS) i linje med klausul 4.4 i standarden och har visat överensstämmelse med en extern revisor/oberoende ISO-certifieringsorgan, t.ex. UKAS.

ISO 27001-certifiering är en affärssärskiljande faktor och visar för andra företag att de kan lita på att din organisation hanterar värdefull informationstillgångar/data från tredje part och immateriella rättigheter; detta främjar en mängd nya möjligheter samtidigt som du skyddar ditt företag från riskexponering.

ISO 27001-standarden är det internationellt erkända best practice-ramverket för ett ISMS

ISO 27001-erkännande är mest värdefullt för organisationer i Storbritannien när du blir certifierad av ett UKAS (United Kingdom Accreditation Service) ackrediterat certifieringsorgan som oberoende granskar din organisation och ger dig ISO 27001-certifiering.

Andra certifieringsorgan jämförbara med UKAS finns internationellt, vilket hjälper till att upprätthålla ISO/IEC 27001 Information Security Management-standarden varhelst en organisation strävar efter att uppnå ISO 27001-certifiering. ISO 27001-certifiering handlar inte bara om vilka tekniska åtgärder du sätter in. ISO 27001 handlar om att säkerställa att affärskontrollerna och de ledningsprocesser du har på plats är adekvata och proportionerliga för de hot och möjligheter för informationssäkerhet som du har identifierat och utvärderat i din riskbedömning. Och allt detta bör göras med en affärsledd strategi för informationssäkerhetshanteringsprocessen.

ISO 27001-certifiering vs efterlevnad

Organisationer som är nya inom ledningssystem för informationssäkerhet frågar ofta om skillnaden mellan ISO 27001-certifiering och efterlevnad, särskilt när de följer erkända standarder som ISO 27001.

Enkelt uttryckt kan efterlevnad innebära att organisationen följer ISO 27001-standarden (eller delar av den). ISO 27001-certifiering innebär att organisationens ISO 27001 Information Security Management System har certifierats i enlighet med standarden av revisorer, så kallade Certification Bodies.

Varför behöver du ISO 27001-certifiering?

ISO 27001-certifiering gäller alla organisationer som vill eller är skyldiga att formalisera och förbättra affärsprocesser kring informationssäkerhet, integritet och säkra sina informationstillgångar.

Storleken/omsättningen av ett företag dikterar inte behovet av ISO 27001 för en organisation; även de minsta företagen kan ha inflytelserika kunder eller andra intressenter, såsom investerare, som letar efter de inneboende garantierna från att ha UKAS ISO 27001-certifieringserbjudanden.

Som ett resultat av ISO 27001-certifieringen kan din organisation visa att dess medarbetare, processer, verktyg och system följer ett erkänt ramverk. Föreställ dig en värld av finansiell rapportering eller hälsa och säkerhet utan standarder. Informationssäkerhet ligger lite bakom dessa områden ur certifierings- och oberoende revisionsperspektiv. Ändå, i takt med att förändringstakten ökar för nästan allt, tar mer innovativa organisationer framåt internt, särskilt med sin försörjningskedja. Så du kan titta på ISO 27001-certifieringen genom två linser;

Förtroende för dina leverantörer

Som kund behöver du förtroende för att dina leverantörer är certifierade för att hjälpa till att minska dina affärsrisker och utnyttja möjligheter, t.ex. från mer konsekventa, högre standarder och lägre totalkostnad och risk för arbete du möter från dem.

Skapa förtroende för ditt företag

Dina kunder blir smartare; de gillar att du behöver veta att leveranskedjan är tillräckligt skyddad. Inflytelserika kunder kräver helt enkelt ISO 27001-certifiering och överför riskhanteringsprocessen nedåt i leverantörskedjan. Det finns också andra spinoff-fördelar, än mindre alla de extra affärer du vinner på att bli certifierad enligt ISO 27001 jämfört med eftersläpande som inte är det. Till exempel kommer välinformerad personal att vilja arbeta för pålitliga varumärken. Eftersom försäkringsgivare kommer ikapp med bättre arbetsmetoder bör det också innebära lägre premier för organisationer med oberoende certifierat ISO 27001 Information Management System.

Fördelarna med ISO 27001-certifiering

För alla intressenter är nyckelbudskapet förtroende och säkerhet från externt granskad informationssäkerhetshantering. ISO 27001-certifiering erbjuder flera fördelar – till exempel:

Fördelar för dig

• Skydda IP, varumärke och rykte
• Vinn fler affärer från nya och befintliga kunder
• Minska försäljningskostnaderna
• Behåll fler affärer
• Förbättrade processer som leder till kostnads- och tidsbesparingar
• Undvik böter på grund av bristande efterlevnad av lagar (som GDPR)
• Undvik civilrättsliga processer till följd av dataintrång
• Undvik kostnader för avhjälpande åtgärder till följd av incidenter och/eller överträdelser
• Attrahera bättre personal

Fördelar för din personal

• Förtroende för organisationens hållbarhet
• Utbildning för arbete (och hemsäkerhet)
• Tydlighet genom policyer och rutiner
• Stolthet över organisationen och deras roll i att skydda den

Fördelar för dina kunder

• Förtroende och trygghet i dig och din försörjningskedja
• Mindre sannolikhet för ett kostsamt intrång
• Minskad kostnad för leverantörsintroduktion

ISO 27001-certifiering: Är det värt det?

Att göra ingenting är förmodligen inte ett alternativ om du får tillgång till och hanterar värdefulla informationstillgångar som ägs av andra. För vissa organisationer bygger hela deras verksamhet på att utveckla eller hantera informationstillgångar.

Så att i så fall förlora en del av eller hela verksamheten eller inte vinna mer i framtiden innebär förmodligen att det är värt att investera i att bli certifierad enligt ISO 27001, särskilt om kunder eller andra intressenter som investerare uppfattar en risk.

Att uppnå ISO 27001-certifiering är inte så komplicerat eller dyrt som det brukade vara på grund av innovativa lösningar som ISMS.online. Och trots många av de strategiska och ekonomiska fördelarna, anser vissa ledare att det fortfarande är ett "agg"-köp och ytterligare en byråkratisk övning i kryssrutan. Att uppnå certifiering innebär vanligtvis en tids- och kostnadsinvestering; som de flesta strategiska investeringar är det värt att överväga avkastningen och bredare fördelar.

Vad är involverat i ISO 27001-implementering?

För att implementera ISO 27001 behöver du utveckla ett "ledningssystem", som består av människor, processer och teknik.

För människors del behöver du ledarskap för att styra implementeringen för att uppfylla affärsmålen, kulturella normer, regelbundna granskningar och visa att organisationen tar det på allvar. Revisorer kommer att vilja se "andan i ISO 27001" tillämpas såväl som dokumenten på denna högre nivå, så en direktör som går in i en revision och låtsas förstå ISO 27001 Information Security Management System är också ett recept på katastrof.

Du behöver också personer som förstår din verksamhet med förmåga, kapacitet och självförtroende för att möta kraven. Investeringen för 'människor' bestäms av den teknik som används för att implementera och underhålla ISO 27001 Information Security Management System (ISMS).

Du behöver till exempel:

• En digital eller pappersbaserad lösning för att beskriva hur du uppfyller kärnkraven i ISO 27001 och hur det hanteras över tid (du revideras minst årligen – se vidare nedan).
• Det är en liknande miljö för att dokumentera och hantera alla kontroller och policyer i bilaga A som utvecklats och sedan se till att de görs tillgängliga för de personer de ansöker till. Du kan bevisa att de är medvetna om dem och engagerade (kom ihåg att dessa personer kan vara personal och leverantörer). Skriv inte bara kontroller och policyer för sakens skull heller. De bör alla baseras på de problem som din organisation står inför, dina intressenters förväntningar, din omfattning och gränser (t.ex. produkter, platser etc.) och de informationstillgångar du vill skydda. Du måste "visa ditt arbete" här också och dokumentera allt detta. Det blir svårt att göra det bra och underhålla det över tid med bara word-dokument, kalkylblad och en delad enhet.
• Ditt ledningssystem kommer att ha alla verktyg som ligger till grund för det arbetet, dokumenterade och lätta att följa av revisorn.
  Alla dessa aktiviteter riskbedöms (med ditt riskhanteringsverktyg) för att sedan hjälpa dig att avgöra vilka av kontrollmålen i bilaga A du behöver implementera, vilket utan att bli alltför tekniskt i detta skede leder till ditt tillämplighetsutlåtande. Har jag redan sagt att du måste visa detta för en revisor för att bli certifierad enligt ISO 27001?
• En dokumentuppsättning kan vara till hjälp om den är genomförbar, dvs du kan praktiskt använda den, och den är lätt att ta till sig, anpassa och lägga till. Det bör också integreras i den tekniska lösningen.
• Om du förlitar dig på leveranskedjan måste du visa hur du kontrollerar dessa leverantörer och i synnerhet deras kontrakt (det är också ett grundläggande krav för efterlevnad av GDPR!)
• Kontrollmålen och kraven förväntar sig en beskrivning av tillvägagångssättet (t.ex. policy för hur säkerhetsincidenter ska hanteras) och dess demonstration (dvs. säkerhetsincidentspåraren med alla dess incidenter, händelser och svagheter detaljer och bevis lättillgängliga också).

Planera, gör, kontrollera, agera

Erkända metoder för att implementera ett system inkluderar PDCA-metoden (Plan, Do, Check, Act). Det var en standardmässig kvalitetsledningsmetod men är kanske lite passé i sin bokstavliga form.

2013/17-versionen av ISO 27001 underlättade en mer agil och dynamisk process som stödjer kontinuerlig utvärdering och förbättring av ledningssystemet, så mer av en realtids-PDCA och att blanda ihop PDCA-ordern också för ett pragmatiskt agilt tillvägagångssätt. Organisationer har vanligtvis den här typen av dynamiskt tillvägagångssätt för sina operativa säkerhetssystem, t.ex. brandväggar, nätverksskannrar etc. Det är mer lämpat för det ständigt föränderliga moderna risklandskapet. Ett välskött ledningssystem för informationssäkerhet kommer att vara ett mycket mer smidigt, dynamiskt och kontinuerligt övervakat ISMS i framtiden.

1. Plan för implementering av ISO 27001

När du lägger till mer sammanhang och struktur till din ISO 27001-implementeringsplan bör den ledande implementeraren överväga följande aspekter:

• Var tydlig med målen, övertygande skäl att agera och eventuella deadlines du vill nå – såväl som konsekvenserna om det glider.
• Identifiera rubrikens RoI så att du kan tillämpa rätt personer och ledarskap – det kommer också att hjälpa budgetutvecklingen om det krävs.
• Om teamet är nytt för ISO 27001, köp ISO-standarderna och ISO 27002-vägledningen och läs det – jämför din nuvarande interna miljö med vad som krävs för framgång (en lätt gapanalys). Många av kraven, processerna och kontrollerna kan redan vara på plats och behöver formaliseras. Du kanske inte behöver extern utbildning eller program för ledande revisorer – dessa kan vara slösaktiga och negativt påverka hur du vill att ditt ledningssystem för informationssäkerhet ska fungera som ett praktiskt ISMS.
• Överväg förkonfigurerade tekniska lösningar och verktyg för att jämföra om det är bättre än vad du redan har internt och bättre användning av dina värdefulla resurser. Vissa av dessa lösningar, som ISMS.online, har redan alla verktyg du behöver och inkluderar handlingskraftig dokumentation som du kan använda, anpassa och lägga till för ett massivt försprång, och erbjuder virtuell coachning och utbildning för att uppnå certifiering.
• Kom igång... och dela ner allt arbete i lagom stora bitar och fira kraften i små vinster. Att se frekventa framsteg mot 100 % fullständighet är smittsamt, så kom ihåg att hitta en synlig, transparent och samarbetslösning för att dela dessa små framgångar!

2. Ta itu med nyckelelementen i ISO 27001-standarden

ISO 27001 kan göras nedifrån och upp genom att ta ett policystyrt tillvägagångssätt, helt enkelt skapa dokumentation för bilaga A-kontroller. Men det mer strategiska och affärsledda tillvägagångssättet följer i stort sett hur ISO 27001 är skrivet och logiskt. Vi har sammanfattat det enkelt så här:

• Titta på de problem som din organisation står inför och förstå behoven hos berörda parter (intressenter); i synnerhet identifiera informationstillgångarna så tidigt som möjligt (du kommer att få mer detaljerad information om dem senare).
• Ställ in gränserna och omfattningen av ISMS.
• Definiera din organisations säkerhetsmål från dess ISMS.
• Sätt in kapaciteten för regelbundna implementeringsgranskningar, revisioner och utvärderingar för att visa att du har kontroll och dokumentera (kort) från dag 1 av implementeringen för att dela den resan med revisorn och för lärdomar.
• Identifiera riskerna för dessa informationstillgångar och gör riskbedömningar – om det saknas resurser rekommenderar vi att du prioriterar informationstillgångarna med högre risk och mer betydande hot mot CIA baserat på sannolikhet och påverkan.
• Skapa en riskbehandlingsplan för varje risk. Om det är lämpligt, välj bilaga A kontrollmål och kontroller som ska implementeras och ta itu med dessa risker – helst koppla ihop det så att du vet att dina tillgångar, risker och kontroller passar ihop. Om du ändrar eller granskar en del ser du effekten på de relaterade delarna.
• Förbered ditt uttalande om tillämplighet – detta fångar många människor, men det är ett obligatoriskt krav och kan slösa bort mycket tid.

Kom ihåg att dokumentera allt och visa att hela systemet fungerar med den vanliga utvärderingen.

3. Utvärdera din ISO 27001 i enlighet med standarden och dess beredskap att uppnå certifiering

Det är avgörande att ha mätningar och recensioner på plats för att säkerställa att ditt ISMS uppfyller sina mål. ISO 27001 innehåller krav på att planerad utvärdering ska ske i form av:

• Ledningsgenomgångar
• Internrevision
• Externa revisioner – där så är lämpligt kan detta vara från ett ISO 27001-certifieringsorgan eller kunder, eller konsulter

4. Förbättra ditt ISMS vid behov och organisera steg 1-revisionen av det externa certifieringsorganet

Den ständiga förbättringsprocessen är nyckeln till ISO 27001-framgång och är något som revisorer kommer att titta på för att se bevis på detta.

Säkerhetshot och sårbarheter förändras snabbt i takt med att organisationer växer eller mål i många fall. Ett företag måste visa sitt engagemang för att vidta korrigerande åtgärder och göra förbättringar av dess ISMS. Implementerat på rätt sätt kommer ditt ISMS att vara en affärsmöjlighet snarare än att begränsa hur du vill driva ditt företag.

Hur blir jag ISO 27001-certifierad?

Efter att ha implementerat ditt ledningssystem för informationssäkerhet och genomfört de första ledningsgenomgångarna av ISMS, och börjat leva efter metoden i praktiken, kommer du att vara på god väg att bli certifierad enligt ISO 27001.

Det är en process i två steg för att bli certifierad med den ackrediterade standarden från United Kingdom Accreditation Service:

Steg 1 revision

Enkelt uttryckt kommer certifieringsorganets revisor att vilja se dokumentationen av Information Security Management System och att du har uppfyllt kraven, åtminstone i teorin! Det är mer en skrivbordsgranskning av ISMS med revisorn i detta skede, som täcker de obligatoriska områdena och säkerställer att andan i standarden tillämpas. Framtidstänkande certifieringsorgan börjar göra dessa på distans, vilket driver ner kostnaderna och påskyndar processen.

Resultatet av denna övning är en rekommendation för steg 2-revisionsberedskap (kanske med observationer att omvärdera under steg 2-revisionen) eller ett behov av att åtgärda eventuella avvikelser som identifierats innan ytterligare framsteg kan ske.

Beroende på din status för internrevisioner kan du behöva genomföra en fullständig internrevision före steg 2. Vi föreslår att du kommer överens om detaljer med dina revisorer eftersom vissa letar efter lite olika saker – det är lite som fotbollsregler där domare tolkar dem olika . Se till att du frågar dem! En bra revisor vill att du ska lyckas och hjälpa dig att förstå vad de förväntar sig att se för en steg 2-revision.

Många organisationer misslyckas i steg 1, och det är av en vanlig uppsättning orsaker som i allmänhet lätt kan åtgärdas med en bra lösning för informationssäkerhetshanteringssystem (om inte ditt ledarskap inte är engagerat, då hjälper ingenting med ISMS!)

Steg 2 revision

Det är här som revisorerna kommer att börja leta efter bevis för att det dokumenterade ledningssystemet för informationssäkerhet lever och andas i praktiken. Din personal kommer att engageras, intervjuas; ISO 27001-revisorn kommer att bedöma din omfattning kring den fysiska platsen, systemen, processerna och procedurerna. Som de flesta revisioner kommer det att vara en urvalsstorlek, och om du kan leda revisorn med ett sammanfogat system, kommer de att ta stort förtroende av det.

Resultatet av denna övning är antingen godkänt eller underkänt. Om du blir godkänd har du det högt värderade certifikatet, misslyckas, och du kommer att ha arbete kvar att göra kring avvikelser innan du kan skicka in igen för ytterligare en revision eller en specifik granskning av avvikelsen.

Hur mycket kostar ISO 27001-certifiering?

Certifieringsrevision är inte huvudkostnaden du behöver tänka på. Den högsta kostnaden är tiden och ansträngningen för att uppnå certifiering från de personer som är involverade i att initialt bygga ditt ledningssystem för informationssäkerhet och underhålla ISMS år efter år efter det.

Det kan ha alternativkostnader för inkomstbortfall från seniorresurser, kärnkompetensdistraktion för verksamheten och högre kostnader för konsultation om du tar in extern hjälp utan en stark teknisk utgångspunkt.

Certifieringskostnaderna är dock fortfarande värda att överväga och baseras på din organisations storlek, omfattning, processer etc. De flesta certifieringsorgan kommer att ge antingen en snabb offert online eller en uppföljning.

ISO 27001-certifieringskostnader bör beaktas under en 3-årig certifieringscykel:

• Inledande revision och certifieringsrevision – steg 1 och 2
• Övervakningsrevisioner för årskurs 1 och 2
• Sedan fortsätter cykeln igen, med omcertifiering vart tredje år.

Revisionsarvoden är vanligtvis cirka 1,000 1 £ per dag (exkl. moms), och antalet dagar som behövs varierar beroende på organisationens storlek och ledningssystemets omfattning. Till exempel kan ett litet företag med en enkel omfattning (t.ex. en produkt, få processer, ett huvudkontor etc.) behöva en dag för en steg 2-revision, två dagar för en steg XNUMX-revision och ytterligare en dag per årlig övervakning.

Det är också värt att hålla utkik efter mer innovativa revisionsorgan som är beredda att titta på revisioner på distans i steg 1. Detta kommer sannolikt endast att övervägas där ledningssystemet hålls helt digitalt, som det är med ISMS.online. Det gör att det är lättare för dem som revisorer att se implementeringen på jobbet. Detta kommer att spara kostnader på oundvikliga resekostnader och tid.

Upprätthålla din ISO 27001-certifiering

ISO 27001-certifiering görs under en 3-årscykel:

• Steg 1 och 2 sedan tilldelning av certifikatet
• Övervakningsrevision 1 (vanligtvis årligen eller kan vara mer frekvent baserat på omfattning, risk och storlek)
• Övervakningsrevision 2
• Tredje året omcertifiering och mer detaljerad utvärdering

Det kan ta 4-6 veckor att boka upp med ett revisionsorgan, så tänk på den ledtiden och vi rekommenderar att du hittar en revisor som är väl insatt i din bransch och storlek på verksamheten. Annars kan de vara mer eller mindre dyra, men avgörande om de inte förstår dina utmaningar i informationssäkerhetshanteringssystemet ur ett affärsperspektiv kan det vara en smärtsam process. Kom ihåg att revisorn i allmänhet alltid har rätt (även om du lättare kan visa varför du har gjort något och förklarat din riskaptit, kontrollval etc., om du har ett välskött ISMS.)