Packar upp ditt nya ISO 27001:2022-spel

Packa upp ditt nya spel med ISO 27001

Av Al Robertson • 4 januari 2021

Först och främst, Gott Nytt År! Vi hoppas att ditt år har börjat bra och önskar dig lycka till för resten av det. Vi har verkligen haft en intressant tid att unboxa 2021. Och det fick oss att tänka på unboxningsspel, vilket ledde oss tillbaka till vårt favoritsätt att tänka på ISO 27001 .

Uppnå ISO 27001 efterlevnad eller certifiering är verkligen som att spela Snakes and Ladders (eller Chutes and Ladders om du är från USA, eller Moksha Patam om du är en av spelets uråldriga indiska uppfinnare).

Det finns ett landskap du måste korsa och regler du måste följa. Upp till en punkt kan du röra dig i din egen hastighet. Om du vet var stegarna är kan du skynda till slutet. Om du slår en orm, går du baklänges. Och du kommer förmodligen att spela igen och igen.

Men det finns en mycket viktig del av spelet som vi aldrig riktigt har pratat om: att ställa in det. När allt kommer omkring, om du inte gör en ordentlig start blir resten av resan mycket svårare.

Läs alltid instruktionerna

Det är en ganska självklar utgångspunkt, men alla gör det inte. Många organisationer dyker rakt in i ISO 27001 utan att läsa hela standarden. De tenderar att hoppa in i förvaltningsklausulerna utan att tänka på strategin och infrastrukturstegen.

Det är som att börja spela ett brädspel när du bara har läst några av reglerna.

Ni kan föreställa er hur det blir.

Så vi rekommenderar att du köper ditt eget exemplar av ISO 27001 och, innan du gör något annat, läser det hela vägen igenom. Du måste också snappa upp:

ISO 27002 , som förklarar i detalj bilaga A styr som ISO 27001 bara berör. Om du inte har ISO 27002 , det är lätt att missförstå dem. Det kan slösa mycket tid och ansträngning.
ISO 27003 , som kompletterar paragraferna fyra till tio i ISO 27001. Återigen, om du inte har det kan du komma på att du missförstår standarden och faller ner för en orm eller två.

Om du har valt oss behöver du fortfarande läsa reglerna, men du kommer att få mycket extra hjälp att förstå dem. Vår plattform kommer förladdad med förklaringar av varje enskilt krav enligt ISO 27001, plus Adoptera, Anpassa, Lägg till innehåll för att visa dig hur du uppfyller dem.

Sätt upp tavlan

Uppställningsscenen är en stor del av att spela vilket brädspel som helst. Du måste få ut allt, ställa in alla räknare, se till att du har alla rätt tärningar och väldigt ofta en massa annat också.

Och det handlar inte bara om själva spelet. Erfarna spelare vet att det är viktigt att ha rätt snacks och drycker till hands. Du kanske måste gräva fram några hopfällbara stolar för att få plats med alla dina spelare och se till att alla har tillräckligt med tid att stanna kvar och spela spelet.

Att ställa in rätt är också mycket viktigt för ISO 27001. Det är faktiskt nästan ett projekt i sig. Du måste:

Få management buy-in, eftersom det är absolut nödvändigt för att ditt ISMS ska lyckas och uppnås efterlevnad eller certifiering
Se till att du har kommit överens om rätt budgetnivå, för om du inte investerar i ditt ISMS kommer det aldrig att komma igång
Avsätt rätt tid, så att du är fri att göra alla de mycket fokuserade ansträngningar som ISO 27001 behöver

Vi vet hur viktigt rätt upplägg är. Så hjälper dig att bli redo för din ISMS projektet är en stor del av vad vi kommer att göra för dig. Det är därför vi tar våra nya kunder genom en rad implementeringssamtal med våra supportteam för att få dem igång på bästa möjliga sätt.

Hitta rätt spelare

Har du någonsin testat att spela Snakes and Ladders på egen hand? Det var nog inte så kul. Även när du spelar ett konkurrenskraftigt spel måste du hitta rätt personer att spela med dig. Ett ISO 27001-projekt är lite mer samarbetsvilligt, men principen håller fortfarande.

Först och främst måste du räkna ut vem mer som kommer att vara en del av spelet. Självklart finns ditt projektteam. Du har förmodligen redan satt ihop dem. Sedan måste du titta på resten av din organisation och se vem som har hjälp du kommer att behöva.

Det beror på att även om standarden inte direkt säger åt dig att gå och prata med andra avdelningar inom din organisation, ber den dig att göra saker som faller inom deras ansvarsområde.

Till exempel:

Bilaga A kontroll A.7.1.1 kräver att du gör relevant genomlysning av nyanställningar. Det är förmodligen något som bara dina HR-personal kan hjälpa till med.
Du kanske har lagt ut viktiga organisatoriska funktioner, som IT. Om så är fallet måste du ta med alla som levererar dem till spelet också.

Att uppnå ISO 27001 innebär att samarbeta med många olika personer och grupper. Så vi har sett till att samarbete är kärnan i vår plattform. Det gör diskussionen lätt och det hjälper dig att sätta upp mål för dem och hålla ett öga på deras framsteg.

Välj rätt strategi

Av någon anledning hör jag hela tiden frasen "om du misslyckas med att planera, planerar du att misslyckas". Det måste vara något i luften. Hur som helst, det är praktiskt att det finns i närheten eftersom det är väldigt relevant när du spelar Snakes and Ladders, eller faktiskt vilket annat brädspel som helst.

Och det betyder att den också är mycket relevant för ISO 27001.

ISO 27001 är en mycket öppen standard, utan någon bestämd väg igenom den. Om du börjar utan en plan kommer du förmodligen att gå vilse (ungefär som Robin Williams karaktär i "Jumanji", som hamnar instängd i ett oändligt brädspel). Vi har sett det hända många organisationer.

Så vi rekommenderar att du skapar en tydligt definierad ISO 27001-strategi som hjälper dig att styra en tydlig väg till en tydligt definierad destination. Börja inte arbeta med standarden förrän du vet:

Hur din slutdestination ser ut
Hur du ska ta dig dit
Vem eller vilka du kan stöta på på vägen

Olika typer av guide är specialiserade på olika delar av ISO 27001 Snakes and Ladders board. Vårt beprövade Metod med säkrade resultat tar dig hela vägen över det, från ditt första startmöte till första gången efterlevnad eller certifiering.

Nu är du redo att spela

Så det är vad att börja spela Snakes and Ladders har visat oss om att starta ett ISO 27001-projekt. Om du funderar på att fastna i en, hoppas vi att det har hjälpt dig att känna dig lite mer självsäker. När allt kommer omkring, som min pappa (en grym Scrabble-spelare) alltid säger:

Tid som läggs på förberedelser är aldrig bortkastad

Men nu är vi förberedda! Så i vårt nästa inlägg tar vi dig genom de fem översta stegarna du behöver klättra när du korsar ISO 27001-tavlan...

Al Robertson

Al är en professionell författare och publicerad författare som täcker en rad ämnen. Han har skrivit en rad artiklar om efterlevnad och särskilt om informationssäkerhet och hur ISO 27001-certifiering kan hjälpa organisationer att växa.

Läs mer från Al Robertson

ISO 27001 27 May 2021

Hur du upprätthåller din ISO 27001-certifiering

Även med den bästa hjälpen och stödet som finns tillgängligt är det en utmanande process att uppnå ISO 27001-certifiering. Det kräver tid, ansträngning och verklig organisation...

Al Robertson

ISO 27001 19 May 2021

Gör-målet-för-ett-ISO-27001-certifierat-ISMS

Hur Colonial Pipeline-hacket gör fallet för ISO 27001

Vi har redan pratat kort om förra veckans Colonial Pipeline-hack. Det är en av de mest effektfulla lösensummaattackerna i historien. Även hackarna, ...

Al Robertson

Information Security 7 May 2021