Om du har insett fördelarna med ISO/IEC 27001:2013, mer allmänt känd som ISO 27001 – från juridiska, regulatoriska och avtalsmässiga krav till nya affärsmöjligheter – och vi överväger hur du ska hantera implementeringen, vi har beskrivit några viktiga utmaningar som står inför och hur man kan övervinna dem.
- Resursera din implementering – utbilda, rekrytera eller upphandla?
- Hur hanterar vi störningar i verksamheten?
- Hur säkerställer vi att ISO 27001 inte bara är en tick-box-övning?
- Hur man gör implementeringen av ISO 27001 mindre skrämmande
1. Resursera din implementering – utbilda, rekrytera eller upphandla?
Med betydande fördelar med att ha ISO 27001 certifiering, bör du noga överväga dina alternativ kring resurser.
Utmaningen för många företag är ofta att inte ha den interna erfarenheten och expertisen för att hantera ISO 27001-implementeringen och dessa är de alternativ som vanligtvis övervägs:
- Utbilda befintlig personal
- Rekrytera en expert på informationssäkerhet
- Engagera konsulter
- Använda ISO 27001 dokumentverktyg
- Sök programvara för hantering av informationssäkerhet
Dessa kan betraktas som fristående eller kombinerade alternativ, beroende på storleken och komplexiteten på ditt företag.
För många företag finns det ofta en extern drivkraft att vara ISO 27001 certifierade vilket i sin tur prioriterar ett snabbt genomförande. Detta kan påverka beslutet om hur resursinformationssäkerhet förvaltning ganska avsevärt.
Information Security Management System (ISMS)
Ett ISO 27001-kompatibelt ledningssystem för informationssäkerhet ger ett systematiskt tillvägagångssätt för att bygga en solid grund för att visa överensstämmelse med eller uppnå ISO 27001-certifiering, såväl som andra nationella och internationella bestämmelser.
En ISMS:
- Visar ditt engagemang för informationssäkerhetshantering
- Inbäddar informationssäkerhetshantering som en disciplin i dina business-as-usual-processer
- Uppmuntrar till samarbete och ansvarsfördelning
- Styr en färdplan till implementering, drift och fortsatt förbättring
Ett mjukvarubaserat ISMS tillhandahåller en levande uppsättning policyer och procedurer inom din organisation som lagras centralt, helst i en molnbaserad plattform.
Detta är anledningen till att en ISO 27001 dokumentverktygslåda misslyckas. Även de mest "omfattande" verktygssatserna är i huvudsak Microsoft Excel- och Word-dokument med otillräckliga versionskontrollmekanismer och inga tydliga nästa steg för implementering av ISO 27001.
2. Hur hanterar vi störningar i verksamheten?
När man börjar arbeta mot ett ISO 27001-certifiering, utmaningen kommer ofta att vara hur man kör detta tillsammans med allt annat med minimala avbrott, samtidigt som man bibehåller fart och uppnår certifiering inom dina tidsskalor.
Jobba som ett team
Du kan inte implementera ISO 27001 ensam; du måste arbeta tillsammans som ett team.
Fördela ansvaret och belastningen över hela verksamheten, snarare än att skapa en informationssäkerhets-”silo”, vilket ibland kan inträffa när en informationssäkerhetskonsult tas in. Detta kommer att minimera störningar och resan mot och bortom ISO 27001-implementeringen är ofta mer effektiv och effektiv.
Inte bara detta, utan företag som närmar sig ISO 27001 på ett genomtänkt och holistiskt sätt förblir certifierade genom att visa att alla agerar ordentligt i sin dagliga verksamhet som vanligt.
Kommunicera bra
Under implementeringen av ISO 27001, kommunicera tidigt, kommunicera tydligt, kommunicera kontinuerligt – ta med dig alla på resan. Om informationssäkerhetshanteringen kommer i vägen gör du förmodligen fel.
3. Hur säkerställer vi att ISO 27001 inte bara är en kryssrutaövning?
Stöd uppifrån och ner
För att verkligen göra resan effektiv måste en organisation anta en kultur förändring som måste drivas från toppen med inköp från alla ledande befattningshavare.
Effektivisera med mjukvara
Använd programvara för hantering av informationssäkerhet som guidar dig genom implementeringen av ISO 27001 – med mallar, ramverk och policyer som du kan skräddarsy.
Mellan dina ISO 27001 oberoende revisioner förväntas du göra dina egna interna revisioner (Klausul 9.2) och agera på resultaten, så bygg in informationssäkerhetshantering i affärsprocesser genom att ständigt granska och optimera ditt ISMS för att säkerställa kontinuerlig mognad.
Förplikta dig till certifiering
ISO-revisorer föreslår vanligtvis att ISO 27001-certifiering kan ta sex månader eller mer – men det finns snabbare och mer hållbara sätt att uppnå det.
Vår Metod med garanterade resultat (ARM) är ett sätt att säkerställa att du når framgång. Vår metodik ger ett pragmatiskt, riskbaserat tillvägagångssätt som bygger på vilka policyer du redan har på plats samtidigt som du planerar för framtida förbättringar.
Hur lång tid det tar för dig beror på dina mål. Om du har en snäv deadline, med ett potentiellt kundkontrakt, måste du förbinda dig till en snabb implementering för att skörda belöningar av ISO-certifiering.
ISMS.online påskyndar implementeringen av ISO 27001. Med sin handlingsbara ISO 27001 politik och kontroller dokumentation, kan du snabbt adoptera, anpassa och lägga till, den erbjuder framsteg på upp till 77 % mot standarden, den minut du loggar in.
4. Hur man gör implementeringen av ISO 27001 mindre skrämmande
Även om fördelarna är spännande, kan det vara minst sagt komplext och skrämmande att ta itu med ISO 27001 för första gången.
Sträva inte efter "perfekt säkerhet"
Även om ISO 27001 kräver kraven för hur ditt informationshanteringssystem måste implementeras och drivas, behöver det inte vara perfekt.
Ett bra sätt att börja är att dokumentera vad du gör idag – och du kommer redan att göra vissa saker – samtidigt som du identifierar och registrerar förbättringar för framtiden som ytterligare kommer att minska dina risker till acceptabla nivåer.
Så länge du är det med tanke på den jämförande risken nivåer – hur stor risk att inte implementera en kontroll mot hur stor risk för verksamheten från att implementera kontrollen – du är på rätt väg.
Kom ihåg att vara pragmatisk, inte "perfekt" när du väljer och dokumenterar dina kontroller.
Huvudmålet är att säkerställa att din säkerhetshantering är helt kompatibel med ISO 27001 samtidigt som du säkerställer pragmatiska, effektiva och effektiva kontroller för att hantera dina risker till en acceptabel nivå.
