ISO-27001-certifiering

Hur du upprätthåller din ISO 27001-certifiering

Guide för att behålla din ISO 27001-certifiering

Att upprätthålla ISO 27001: Även med den bästa hjälpen och supporten som finns är det en utmaning att uppnå ISO 27001-certifiering. Att hitta rätt certifieringsorgan och ta sig igenom certifieringsprocessen tar tid, ansträngning och verkligt organisatoriskt engagemang.

Så när du väl har lyckats kan det vara lockande att fira och sedan bara sluta tänka på allt.

Men ISO 27001 är inte en eld och glöm standard. För att behålla din ISO 27001-certifiering måste du genomgå en treårig revisionscykel.

Ditt ISO 27001-certifieringsorgan kommer att hålla ett öga på din ledningssystem för informationssäkerhet eller ISMS. Den kommer att genomgå regelbundet externt underhåll revisioner under din certifiering treårig livscykel. Du måste köra effektivt interna revisioner för. De är en lika stor del av revisionsprocessen som din första certifiering revisioner.

Och i slutet av dessa tre år måste du vara redo för ISO 27001-omcertifiering.

Här är våra fem bästa tips för att behålla ISO 27001

Det säger vi alltid bra informationssäkerhet är lite som att ta hand om din bil.

För att fortsätta köra runt glatt och säkert måste du hålla koll på allt från vägskatt och försäkringar till vanliga tjänster och MOT. Och du kommer regelbundet att kontrollera alla små detaljer, från hur dina däck slits till om du får slut på vindrutetvättare.

Informationssäkerhet är inte bara en ruta du kryssar i. Det är en hel process som alltid pågår.

Kom ihåg att ditt ISMS är för livet, inte bara för ISO 27001-certifieringsdagen

Det bästa sättet att underhålla din ISO 27001-certifiering är att göra ISMS-vård till en del av din dagliga verksamhet. Ju mer du kan jämna ut det hela, desto färre underhållstoppar behöver du bestiga och dalar kommer du att fastna i. Och desto säkrare blir dina datatillgångar!

Börja med att behålla ditt ISMS interna revisioner tjatar med. Försök att göra en i månaden i elva månader. Det är mycket bättre än att lämna dem alla till sista minuten och sedan plötsligt upptäcka att alla dina interna revisioner av ledningssystem ska göras ett par dagar innan dina externa revisorer kommer.

Se till att du utför regelbundna granskningar i hela din organisation

Du är inte den enda som behöver hålla ett öga på ditt ISMS.

Att involvera dina ledande ledare genom en regelbunden ledningsgranskning är ett viktigt krav enligt ISO 27001. Det finns ingen fast frekvens för dem. En per år anses vara acceptabel, men för ett korrekt hanterat ISMS rekommenderar vi att man håller ledningsgenomgångar minst var sjätte månad.

Det hjälper dig:

Håll högre chefer uppdaterade med den snabbrörliga världen av datasäkerhet och dela information om:

  • Eventuella cybersäkerhetshot eller dataintrång som ditt ISMS har hanterat
  • Din riskbedömning och riskhantering strategier
  • Andra ISMS- eller ISO 27001-relevanta händelser och utvecklingar

Upprätthålla sina inköp och allmän eller specifik support, så att de:

  • Stöd och driv bästa praxis i hela ditt företag
  • Förbli kompatibel med ditt ISMS själva
  • Stanna medveten av eventuella interna processer som behöver deras medverkan

Ta hänsyn till deras strategiska mål när du hanterar och utvecklar ditt ISMS, för att:

  • Guide dig när du ständigt förbättrar den
  • Se till att alla dina aktiviteter är på rätt väg
  • Kolla in eventuella tredje parter som de har att göra med på högre nivå

Och om andra avdelningar tar hand om delar av ditt ISMS, se till att du håller regelbunden kontakt med dem. Det är väldigt frustrerande att vara på toppen av ditt eget ansvar och sedan i sista stund upptäcka att ditt mänskliga resurser, juridiska eller till och med immateriella personer (till exempel) har tappat bollen.

En undvikande dataintrång i en annan del av din organisation är en ovälkommen överraskning, men med lite bästa praxis-beteende är det enkelt att undvika. Och det är den typen av utmärkt affärsbeteende ISO-standarder är byggda för att definiera och uppmuntra.

Låt inte ISMS-efterlevnad falla av dina kollegors radar

Vi rekommenderar en pågående informationssäkerhetsmedvetenhet och kommunikation program.

Du har förmodligen redan delat detaljer om ISO 27001-certifieringsprocessen. Ett pågående kommunikationsprogram som fortsätter att köras efter certifieringen hjälper dina kollegor:

  • Håll dig medveten om säkerhetskontroller som gäller dem
  • Förbli kompatibel med dem
  • Håll ett bredare utkik efter potentiella incidenter eller problem

Att låta dem veta när ditt ISMS har avvärjt cyberattacker eller hanterat andra informationssäkerhetsutmaningar hjälper dem också att förstå dess värde för ditt företag.

Möjliga kommunikationsaktiviteter inkluderar:

  • Månatliga affischer som delar information om eventuella informationssäkerhetsattacker eller händelser
  • Vanligt parodi nätfiske-e-post för att se hur många som svarar lämpligt
  • Löpande informationssäkerhetsutbildning och repetitionspass
  • Se till att rätt personer kan komma åt relevanta delar av din ISMS-dokumentation

Och det är bara till att börja med. Det finns många fler sätt du kan säkerställa efterlevnad i hela din organisation. Om du har ett internt kommunikationsteam rekommenderar vi att du ställer in en regelbunden granskningssession med dem. Och om du inte gör det måste du implementera ditt eget ISO 27001 kommunikationsprogram.

Korrigera eventuella ISMS-problem så snart de dyker upp

Ett ogranskat ISMS är inte värt att ha. Så du kommer att hålla ett öga på det hela tiden. Och när du identifierar några problem loggar du korrigerande åtgärder och genomföra ett svar på dem. Det är där många organisationer glider upp. De samlar in och loggar åtgärder, men tappar sedan fokus och ignorerar dem bara. Gör inte det misstaget!

  • Håll alltid koll på dina korrigerande åtgärder.

Att inte svara på korrigerande åtgärder är förmodligen det enklaste sättet att få en avvikelse vid din nästa revision. Vilket också gör det till ett av de enklaste problemen att undvika. Bygg bara in regelbundna korrigerande åtgärder i ditt vecko- och månadsschema. Varför riskera revisionsproblem när det är så lätt att undvika

Håll utkik efter ISMS-utvecklingsmöjligheter

ISO-certifiering kan täcka mycket mer än bara informationssäkerhet. Och uppnå överensstämmelse eller certifiering med andra standarder och föreskrifter kommer att öka:

  • Din organisations varumärke och effektivitet
  • Din avkastning på din investering i styrning, risk och efterlevnad

Vi gör det enkelt att utveckla ditt ISO 27001-certifierade ISMS till ett integrerat ledningssystem som täcker flera ISO och andra standarder. De inkluderar:

  • Integritetshantering fokuserad på ISO 27701
  • Fokuserad på affärskontinuitet ISO 22301

ISO-certifieringsprocessen är väldigt lik från standard till standard, så när du väl har uppnått en certifiering blir nästa enklare uppgift. Om du har byggt ett integrerat ledningssystem med hjälp av vår plattform det blir lätt att återanvända arbete som gjorts för en standard för att uppnå en annan.

Och det handlar inte bara om ISO-certifiering. Ditt ISMS kan också hjälpa dig att visa efterlevnad av bestämmelser som GDPR och POPIA också.

Vanliga frågor och svar

Hur länge varar ISO 27001-certifieringen?

Din organisations ISO 27001-certifiering kommer att gälla i tre år.

Vilka är fördelarna med att behålla din certifiering?

Ditt ISMS kommer att utvecklas med externa hot och ditt eget företags tillväxt. Den förblir robust, relevant och effektiv och minimerar riskerna för din organisations informationssäkerhet. Och att undvika avvikelser under certifieringens treåriga livslängd är naturligtvis en prestation i sig.

Är pågående revisioner en del av ISMS-underhållsprocessen?

Under den treåriga livslängden för din ISO 27001-certifiering kommer du att genomgå årliga externa revisioner från ditt certifieringsorgan och utföra dina egna interna revisioner. Vi rekommenderar att du genomför interna revisioner en gång i månaden, snarare än att ha bråttom precis innan din externa revision.

Kan dina kollegor hjälpa till att behålla din certifiering?

Ja. När du har firat certifieringen måste du se till att de håller sig medvetna om ditt ISMS. De bör förstå vilka policyer och kontroller som påverkar dem och upprätthålla efterlevnad av dem. Vi rekommenderar att du skapar kommunikationsprocedurer för att hålla dem i kontakt med dina ISO 27001-system.

Kan dina högre chefer hjälpa till att behålla din certifiering?

Ja, det är viktigt. Att hålla dina seniora företagsledare involverade och uppdaterade under din certifiering är ett viktigt krav enligt ISO 27001. Du behöver deras stöd och inköp för att implementera, underhålla och utveckla ditt ISMS. Och du måste se till att du följer deras strategi och att de följer alla relevanta policyer och kontroller.

Kan dina leverantörer hjälpa till att behålla din certifiering?

Om företagen din organisation arbetar med faller inom ditt ISMS:s räckvidd måste du visa att de följer det. Det innebär att dela relevanta delar av sin dokumentation med dem och se till att deras anställda följer alla relevanta policyer eller kontroller.

Behöver dina kunder veta om ditt ISMS?

Absolut ja! Det kommer att bygga upp deras förtroende för dig och hjälpa ditt företag att vinna nya kunder och behålla befintliga. Se till att detaljerna i din ISO 27001-certifiering är lätta att dela med andra företag under din försäljningsprocess och håll dina kunder uppdaterade med alla relevanta säkerhetsprestationer.

Fördelarna med ISO 27001 »

Senast redigerad: 26 januari 2022
Författare

Al Robertson

Al är en professionell författare och publicerad författare som täcker en rad ämnen. Han har skrivit en rad artiklar om efterlevnad och särskilt om informationssäkerhet och hur ISO 27001-certifiering kan hjälpa organisationer att växa.

Visa alla inlägg av Al Robertson

relaterade inlägg

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer