Om du funderar på en ISO 27001 dokumentverktygslåda, läs detta först. 2011 var ett år då det hände mycket. Ett kungligt bröllop, en arabisk vår, Amy Winehouse som dör (tillsammans med många andra anmärkningsvärda karaktärer) och några fruktansvärda jordbävningar runt om i världen. Vi hade också vår första jordbävning Alliantist också (relativt sett var det en otäck chock); ett behov av att uppnå ISO 27001. Och uppnå det med en oberoende UKAS-certifiering för att tillfredsställa vår viktigaste kund. Så vi nickade till kunden och gick iväg för att ta reda på vad som gällde. Skakningarna fortsatte en tid efteråt.
I det skedet (många år innan vi utvecklade ISMS.online) hade vi bokstavligen ingen aning om vad ett ledningssystem för informationssäkerhet (ISMS) var och vi visste ingenting om ISO 27001. Kunden som var involverad älskade vår specialistpam säker molnprogramvarutjänst och berättade för oss att ISO 27001 informationssäkerhetsledningssystem standarden blev nödvändig eftersom de såg vår plattform som viktig för att dela känsligare information än tidigare.
Vi gjorde vad de flesta gör när de behöver forska i något; sök på nätet. Vi var också tvungna att hoppas att det fanns en snabb ISO 27001 implementeringsvinst tillgänglig till ett pris vi hade råd med eftersom kostnaden inte ingick i avtalet som slöts med kunden, och vi var tvungna att göra det ganska snabbt. Vem budgeterar för ett ledningssystem för informationssäkerhet när de inte förstår vad det handlar om?
Tidiga sökningar ledde till att vi förstod att det var viktigt att ha ISO 27001-dokumentation. Det ledde till sökningar efter gratis ISO 27001-dokumentationsmallar, gratis ISO 27001-verktyg och ISO 27001-dokumentverktyg tillsammans med dataskyddsverktyg. Och vi kollade in de betalda sakerna också som vi alla vet, gratis är sällan i praktiken. Internet och detta ämne har uppenbarligen kommit långt på 8 år och så har reglering med saker som GDPR, vilket innebär att informationssäkerhetshantering är ännu viktigare för alla nu, inte bara den utbildade kunden. Det är lätt att skratta åt vår naivitet nu, men som ett resultat av marknadsföringen och vår bristande kunskap fastnade vi i den första attraktionen av ISO 27001 dokumentverktygssatser som "snabblösningen" för att få vår oberoende ISO-certifiering.
Så vi köpte en "omfattande verktygslåda" från en välkänd leverantör av informationssäkerhetshantering och trodde att vi hade lyckats bra med att bara spendera cirka 1,000 27001 pund. Sedan köpte vi standarderna ISO 27002 och ISO 100 som kostade cirka XNUMX pund vardera. Det senare beslutet var avgörande för oss av många anledningar, inte minst för att förstå standardstrukturen, numreringen och vara mycket tydligare med vad alla förväntningar var.
Verktygssatserna visade sig vara en dålig omfattning av grundläggande excel- och word-dokument med gammaldags versionskontrollmekanismer och ingen klarhet för vad vi skulle göra härnäst. Kan vi bara justera dessa ISO 27001-mallar, dumpa dem på en Google Drive eller Sharepoint-webbplats och visa den externa revisorn att vi var redo för vår Steg 1-revision? Inte riktigt. Vi slösade bort mycket tid på att försöka komma på det. Alternativkostnaden för vårt konsultdagspris höll på att bli betydande och vi var inte närmare målet om ett certifierat ISMS som vår kund kunde lita på.
Vid närmare eftertanke är det analogt med att köpa ett paraply för att lösa en jordbävningsrisk; en möjligen användbar tillgång men långt ifrån tillräckligt, och du kunde ha spenderat de pengarna mer effektivt. Kanske är det till och med en skuld om du också skulle bli knivhuggen i ögat av det spetsiga paraplyet när du var osäker på vad du skulle göra med det under jordbävningen... Jag driver uppenbarligen analogier och blandar mina metaforer en aning långt. Den bokstavliga poängen är att ISO 27001-dokumentation i sig inte räcker och ISO-standardexperterna har tydligt sagt att ett "ledningssystem" är det viktiga att uppnå.
Ladda ner din gratis guide till snabb och hållbar certifiering
Vi behöver bara några detaljer så att vi kan maila dig din guide för att uppnå ISO 27001 första gången
Ladda ner din gratis guide nu och om du har några frågor alls då Boka en demo or Kontakta oss. Vi hjälper gärna till.
Vårt ISMS kommer förkonfigurerat med verktyg, ramverk och dokumentation som du kan adoptera, anpassa eller lägga till. Enkel.
Vår metod för garanterade resultat är utformad för att du ska bli certifierad vid ditt första försök. 100 % framgång.
Glöm tidskrävande och kostsam träning. Vår virtuella coach-videoserie är tillgänglig 24/7 för att guida dig igenom.
Drar det konceptet med "verktygslåda" och ISO 27001-verktyg för långt när du allt du får är en massa dokument och kalkylblad? Kanske, även om wikipedia nämner kalkylblad som ett exempel på ett verktyg! Sedan finns det själva "verktygslådan" och "verktygslådan", som betyder olika saker för olika människor.
Föreställ dig detta för dina verktyg och verktygslåda: det ser tilltalande ut men det är osannolikt att du gör jobbet bra om du inte är runt fyra år gammal.
Mot detta för dina verktyg och verktygslåda: omfattande, ja organiserat och snabbt att hitta det du behöver när du vill ha det och enkelt att använda av oerfarna proffs också. Men det kan också kosta mycket mer och inte vara vad du verkligen behöver också.
I verkligheten när informationssäkerhet e-handelssajter och konsulter talar om verktygssatser vad de egentligen menar är ISO 27001-dokumentation. Den faktiska innehållskvaliteten, omfattningen och vägledningen med det kan variera från:
Ingen av dessa uppnår faktiskt ISO 27001-framgång ensam och skapar inte heller ett ledningssystem för informationssäkerhet i sig.
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
För att uppnå ISO 27001 och få en oberoende certifiering finns det ett behov av att beskriva och visa dokumentation (innehåll) som fungerar i praktiken för cirka 140 specifika aktiviteter. Det inkluderar förberedelser, möte ISO 27001 kärnkravsklausuler och hantering av kontroller i bilaga A. Så att ha dokumentationen är en sak, att visa att den är relevant för din organisation och att du lever ledningssystemet i praktiken är en annan.
Det är därför viktigt att noggrant kvalificera vad som exakt ingår i en dokumentationsverktygslåda. Du vill inte skaffa en Bob the Builder-verktygslåda med kvalitetspassform för en fyraårig användare när det du verkligen ville ha var den fullvuxna omfattande Snap-on-verktygssatsen. Likaså varför köpa en omfattande verktygssats när du redan har skiftnyckel och hammare. I praktiken är det väldigt få organisationer som faktiskt börjar sin implementering från noll. Vi har skapat en ISO 27001-implementeringsmetod som kallas ARM; de Metod med säkrade resultat. Det hjälper organisationer att uppnå standarden genom att bygga på vad de redan har och vara pragmatiska i sin inställning till ISO 27001-certifiering.
Det beror på kvaliteten och omfattningen av det du köpte, och vad mer du har för att driva och hantera ditt ISO 27001-ledningssystem också. Du vill enkelt ta till dig, anpassa och lägga till dokumentationen och verktygen för att göra den relevant för din organisations önskade arbetssätt.
Med teknikens kraft och överkomliga priser vill du ha en digital ledningssystem för att hjälpa till att samordna och kontrollera din dokumentation, som visar att du granskar den regelbundet, samt "lev och andas" alla relevanta krav och kontroller på det sätt som standarden förväntar sig. Även om det finns många olika sätt att göra det på, har vi identifierat vad vi anser vara nyckelegenskaper hos ISMS-programvara.
En skräddarsydd praktisk session utifrån dina behov och mål
ISO 27001-dokumentation är viktig, och som nämnts ovan, förmodligen det första som människor söker efter även idag när de är nya i standarden. Många förfrågningar som vi får idag om ISMS.online börjar med kommentaren "Vi köpte nyligen en dokumentverktygslåda men inser nu att det inte var vad vi trodde att det var..." Tyvärr kommer de flesta av dessa organisationer, som vi gjorde, nästan säkert att ha slösat bort £500-1500 och deras tid att komma till den positionen.
Det är verkligen viktigt att du inte bara beskriver innehållet, utan också visar att vad som helst politik och kontroll dokumentation du använder, vilket framgår av dess operativa användning. Till exempel om din policy säger att du använder 2-faktors autentisering och har system administratörsbehörighetskontroller, se till att du kan visa dem i praktiken för en revisor.
Du kan inte bara ha en riskhanteringsmetodik i ett fristående dokument, du måste identifiera och hantera risker regelbundet i praktiken – om det är svårt att följa den policyn i praktiken eller inte kommer att hända eftersom policyn eller verktyget är klumpigt, dina certifieringsinsatser kommer misslyckas. Därför kan dokumentationsverktyg vara en tillgång eller en skuld, beroende på vad du köper, var du får det ifrån och hur du använder det. Varning emptor!
Vi har funderat länge på vilken nivå och omfattning av kompletterande dokumentation som ska tillhandahållas med ISMS.online, för de som vill ha ett försprång. Vi slutade med uppfattningen att vi kan, "handen på hjärtat", hjälpa till organisationer med upp till 77 % framsteg på alla sina krav och kontrolldokumentation så fort de loggar in, med vårt material som är så lätt att adoptera, anpassa och lägga till jämfört med andra. Det minskar tidsåtgången avsevärt och sparar en enorm summa pengar. Feedback från kunder tyder på att det är den mest omfattande uppsättningen av material som finns, särskilt när det kompletteras med vår Virtual Coach-tjänst och ARM som hjälper till att påskynda implementeringen av ISO 27001.
Mer påtagligt såg vi till att allt innehåll utgör praktisk och handlingsbar dokumentation inom ISMS.online-ledningssystemet. När allt kommer omkring måste du ha ett ledningssystem för informationssäkerhet för att uppnå ISO 27001 och en dokumentverktygslåda räcker inte hur bra den än är. Vi upptäckte det till vår stora kostnad för många år sedan, och det är synd att andra fortfarande hamnar i sprickorna (tillbaka till den jordbävningen;), men med ISMS.online nu tillgängligt, behöver du inte vara en av dem.
Boka en skräddarsydd praktisk session utifrån dina behov och mål.