Vem kommer att delta i implementeringen av ISO 27001?

Vad är ISO 27001?

ISO/IEC 27001:2013 – för att ge den aktuella internationella versionen dess fullständiga referens – vanligen kallad ISO 27001, är den internationellt erkända standardspecifikationen för ett Information Security Management System (ISMS).

ISO 27001 är en del av en familj av standarder i ISO 27k-serien, som täcker ett brett spektrum av informations- och cybersäkerhetsämnen och efterlevnadsvägledning.

ISO 27k-familjen är själv en del av en bredare familj av ledningssystemstandarder baserade på ISO/IEC-direktiven del 1 (11:e upplagan 2020) Bilaga SL, som definierar ett gemensamt ramverk för ledningssystem.

Den är utformad för att möjliggöra ett riskfokuserat företagsledningssystem som stödjer skyddet av informationstillgångar i vilken form som helst – t.ex. inom IT-system, på papperskopia eller digitala medier, och till och med i människors huvuden. Det är inte avsett att användas som en teknisk säkerhetsstandard.
Standarden innehåller:

• De obligatoriska "kraven" (ofta kända som "ledningssystemklausulerna") som följer ISO-direktiven del 1 bilaga SL ramverk; och
• Bilaga A – ett exempel på riskvalbara kontroller som vanligtvis används för att minska riskerna till en acceptabel nivå.

Ta reda på mer om kärnkraven i ISO 27001 och bilaga A-kontrollerna du kan välja att implementera här..

Varför är ISO 27001 viktigt?

Alla organisationer skapar, hanterar och distribuerar information, och all information har ett värde. Att implementera ett internationellt erkänt hanteringssystem för informationssäkerhet kommer att bidra till att skydda värdet och ge betydande affärsnytta och avkastning på investeringen.

Sådana förmåner kan inkludera:

• Förmågan att verka på reglerade marknader som efterfrågar påvisbara informationssäkerhet.
• Möjligheten att använda ackrediterad certifiering som en avgörande skillnad för att vinna nya affärer.
• Minskningen av operativa omkostnader genom att fokusera på säkerhetskontroller där de verkligen behövs minska kritiska risker och effektivisera processer för hantering av informationssäkerhet.
• Minskningen av kostnaderna för att svara på informations- och cybersäkerhetsincidenter.
• Enklare påvisbar efterlevnad av lagar och regler samt minskning av potentiella påföljder för överträdelser av sådant.

Vilka roller krävs för att implementera ISO 27001 Information Security Management System?

Även om ISO 27001 inte specificerar nödvändiga roller; flera grundläggande ansvarsområden kommer att behöva tilldelas för att säkerställa att ISMS överensstämmer med din organisations kultur och natur och dess affärsverksamhet och framgångsrikt hanterar informationsrisker till en acceptabel nivå.

Termen "intressenter" betyder olika saker för olika människor, och ofta kommer du att höra om primära, sekundära och till och med tertiära intressenter, direkta och indirekta intressenter. ISO-standarderna för ledningssystem talar inte om intressenter, utan snarare "intresserade parter", men det betyder inte att du inte kommer att ha interna intressenter för ISMS.

Primära intressenter

Eftersom ISO 27001 först och främst är en standard för affärsledningssystem måste dina primära intressenter sitta på den högsta ledningsnivån – det handlar trots allt om att skydda din verksamhet!

Ni, primära intressenter, kommer sannolikt att inkludera:

• "C" eller representation och sponsor på direktionsnivå.
• Senior risk stakeholder – eventuellt en Senior Information Risk Officer (SIRO) eller liknande roll som ansvarar för att övervaka alla affärsrisker, där informationsrisk är en del.
• En person eller ett team som ansvarar för ISMS – eventuellt en chef Information Security Officer (CISO), Information Security Manager (ISM) eller liknande, som passar in i din organisations kultur och terminologi och dess befintliga struktur.
• En "lead implementer" eller liknande nominerad resurs ansvarig för att hantera implementeringen av ISMS.

Sekundära intressenter

Sekundära intressenter kommer att vara de som kommer att ansvara för någon del av ISMS. Detta kommer att inkludera ämnesrepresentanter från hela organisationen och eventuellt dess partners och till och med leverantörer.

Listan över sekundära intressenter kommer att bestämmas av din organisations storlek och karaktär, men kan innehålla:

• Informations- och cybersäkerhetsspecialister som är relevanta för din organisations verksamhet.
• IT-säkerhet och teknisk resurs.
• HR representation.
• Fysisk säkerhet representation – eventuellt ”Faciliteter” eller liknande
• Juridisk och efterlevnadsrepresentation
• Internrevision
• Representanter från affärsavdelningar som ansvarar för dina kritiska affärsprocesser – ISMS måste arbeta med dessa, inte bli en blockerare. Så att engagera företagschefer i hela organisationen kommer att vara grundläggande för att uppnå detta.
• Representanter från leverantörer eller partners som har tillgång till organisationens information.

Lead implementer roll definierad

Rollen "Lead Implementer" är den person som ansvarar för att övervaka ISMS-implementeringen och behöver som sådan vara någon med den kunskap och kompetens som krävs för uppgiften.

De kommer att behöva förstå ISO 27001-standarden och tillhörande vägledningsstandarder från samma familj. De kommer också att behöva känna till nyckelprocesserna för implementering, drift, övervakning och förbättra ISMS för att säkerställa att ISMS är effektivt och effektivt.

Traditionellt är detta antingen "inköpt" i form av en specialistkonsult eller "uppfostrat" ​​genom att skicka en eller flera befintliga medarbetare på en ISO 27001-utbildning för ledande implementerare. Båda dessa är vanligtvis dyra alternativ.

ISMS.online-plattformen tillhandahåller flera verktyg som hjälper till att fylla kunskaps- och kompetensluckan som hjälper till att minska eller eliminera behovet av sådana kostnader. Dessa inkluderar:

• Vår handlingsbart innehåll – dokumenterade policyer och kontroller som du enkelt kan anta, anpassa eller lägga till, och det betyder att du kan ha upp till 77 % av den dokumentation du behöver från dag 1.
• Vår "Assured Results Method" (ARM) – som är en sakkunnig utformad färdplan som leder dig genom implementeringen av ditt ISMS logiskt och effektivt.
• Förbyggda verktyg – som våra riskregister vilket ingår:
  • En provbank med över 100 vanliga informationssäkerhetsrisker,
  • Våra intressenter kartlägger,
  • Våra spår för att hantera incidenter, korrigerande åtgärder och förbättringar,
  • Och vårt juridiska och regulatoriska register, som innehåller typiskt relevant lagstiftning och förordning.
• Vår "Virtuell coach" – ett tillval som ger expertråd och vägledning genom innehållslänkade kontextuella video-, ljud- och textförklaringar.

Ta reda på hur vår mer om hur ISMS.onlines förenklade, säkra och hållbara plattform kan passa dina behov här..

Högsta ledningen

"Allt börjar på toppen" – ISO 27001 är först och främst ett företagsledningssystem utformat för att hantera skyddet av en organisations informationstillgångar och minska informationsrisker till en acceptabel nivå.

Utan stöd från högsta ledningen är det osannolikt att implementeringen och driften av ISMS kommer att bli framgångsrik, effektiv eller effektiv.

ISO 27001 definierar några grundläggande klausuler som är den högsta ledningens ansvar, Inklusive:

• 5.1 Ledarskap och engagemang – Högsta ledningens engagemang för integrering av informationssäkerhet inom organisationen och dess processer
• 7 Support – Tillhandahållande av tillräckliga och kompetenta resurser för ISMS
• 9.3 Ledningsöversyn – ett åtagande för den högsta ledningen att minst en gång om året granska ISMS:s effektivitet

Informationssäkerhet / Styrningspersonal

Grundläggande för ett framgångsrikt genomförande och drift av ISMS kommer att vara informationssäkerhets- och styrningspersonalen som har till uppgift att ansvara för ISMS:s övergripande förvaltning och dess komponenter.

Dessa är vanligtvis personal vars primära roll är fokuserad på informationssäkerhet och styrning. Men om din organisation är liten är det sannolikt en person som har ett annat vardagsjobb också.

ISMS.online-plattformen kan hjälpa till att tillhandahålla kunskap, kompetens och förtroende där resurser på expertnivå inte är tillgängliga och säkerställa att ISMS inte blir en betungande omkostnad.

IT-avdelning eller leverantör(er)

Eftersom mycket information lagras, bearbetas och överförs på eller genom IT-system, nätverk och applikationer kommer det att finnas ett behov av att säkerställa att lämplig interaktion med IT-avdelningar och/eller leverantörer byggs in i ISMS i ett tidigt skede.

Många av kontrollerna som kommer att implementeras för att skydda dina informationstillgångar kommer att vara tekniska kontroller som utformas, utvecklas, implementeras och drivs av din IT-avdelning eller leverantörer.

Att hantera förväntningarna och ansvarsfördelningen för de tekniska aspekterna av information och cybersäkerhet kommer att vara avgörande för ISMS:s framgång.

Internrevisor(er)

ISO 27001, som med alla ISO-ledningssystemstandarder, kräver att en organisation har ett program för internrevisioner för att verifiera den effektiva driften av ISMS och dess förmåga att reducera informationsrisker till en acceptabel nivå.

Åtminstone måste ISMS-hanteringsklausulerna (4-10) granskas årligen och bilaga A-kontroller granskas inom certifieringsperioden (3 år för UKAS-ackrediterade certifieringar).

Urvalet av internrevisorer ska säkerställa objektivitet – det vill säga du kan inte granska ditt eget arbete – och kompetens – revisorn ska ha kunskap och kompetens för att genomföra revisionen.

Vår Virtual Coach-tjänst är färdigbyggd med allt du behöver veta om internrevisioner eller läs vår förenklad guide till ISO 27001:2013 Internrevision med vägledning och idéer om hur du kan nå ditt mål.

Personuppgiftsombudet

Smakämnen Personuppgiftsombudet är vanligtvis ansvarig för att säkerställa lämplig hantering, användning och skydd av personlig identifierbar information (PII) inom organisationen. Sådan information kommer att relatera till en organisations personal, och ofta till dess kunder.

Detta ansvar inkluderar tydligt att säkerställa att adekvat information och cybersäkerhetskontroller och processer finns på plats för att skydda denna typ av information.

Rollen som dataskyddsombud är inte specificerad eller bemyndigad inom ISO 27001, men annan relevant lagstiftning och förordning som den brittiska dataskyddslagen (2018) och Allmänna dataskyddsförordningen (GDPR) kräver en sådan roll. Dessutom innebär efterlevnad och andra kontroller inom ISO 27001 starkt behovet av en sådan roll.

Vem kommer att granska vårt ISMS för ISO 27001-certifiering?

Om du vill uppnå erkänd och respekterad certifiering för ditt ISMS – nödvändigt för att få maximal nytta av det – du måste anlita ett ISO 27001-ackrediterat certifieringsorgan för att utföra de revisioner som krävs för certifiering.

Vad är ISO 27001-certifieringsorgan?

Certifieringsorganen ger revisorer kompetens, kunskap och kompetens för att genomföra certifieringsrevisionerna och säkerställa att certifieringarna är ackrediterade på en konsekvent nivå.

Sådana organisationer listas vanligtvis på webbplatsen för det territoriella ackrediteringsorganet. I Storbritannien är ackrediteringsorganet United Kingdom Accreditation Service (UKAS), och de övervakar de ackrediterade certifieringsorganen i Storbritannien.

Hur lång tid tar det att bygga ISMS?

Som med alla viktiga projekt kommer tiden att ta att bero på vad som behöver göras och kapaciteten och kompetensen hos de resurser som ställs till förfogande för att göra det.

För ISO 27001 är "vad som behöver göras" väldefinierat i standarden, och de resurser som görs tillgängliga kommer att bestämmas av din organisation.

Vanligtvis, för en liten till medelstor organisation med vissa redan existerande policyer och kontroller, kan det ta allt från sex månader till ett år att bygga ett ISMS (beroende på resursnivåer). Ibland är det ännu längre om tillgängliga resurser måste dela sin tid på andra jobb. Ett 6-dagars (heltidsekvivalent) projekt är ganska vanligt.

Smakämnen ISMS.online-plattform kan hjälpa till att minska dina resursnivåer avsevärt. Beroende på hur mycket av det handlingsbara innehållet du kan anta eller enkelt anpassa kan uppbyggnaden av ditt ISMS minskas med så mycket som 75 % eller 80 %. Vissa kunder kan gå från en stående start till att vara redo att påbörja certifieringsrevisionsprocessen inom 6 veckor.

Hur lång tid tar det att få ISO 27001-certifiering?

När ditt ISMS har byggts sker certifieringsrevisionsprocessen i två steg med en förfluten tidsram på 2 månader som vanligt. Vanligtvis är processen i två steg:

• Steg 1 revision – ISMS Dokumentationsgranskning
• Korrigerande åtgärdsperiod – vanligtvis 4-6 veckor mellan de två stegen för att göra det möjligt för en organisation att vidta eventuella korrigerande åtgärder som härrör från steg 1-revisionen
• Steg 2 revision – Bevislig "certifieringsrevision".
• Granskning av certifierings- och ackrediteringsorgan – vanligtvis 2-4 veckor. Certifieringsorganet kommer att granska revisionen internt och överlämna revisionen till UKAS som valfritt kan prova revisionen för granskning.

Hur väljer jag ett certifieringsorgan?

Många faktorer kommer att påverka ditt val av certifieringsorgan.

Det viktigaste av dessa kommer att vara att säkerställa att certifieringsorganet är ackrediterat. Det är möjligt att få icke-ackrediterad certifiering. Detta kommer dock att ha begränsad integritet och värde. Vi rekommenderar starkt att du inte åker den här vägen.

Om du redan har andra certifieringar, till exempel:

• ISO 9001 (kvalitetsledning)
• ISO 14001 (miljöledning)
• ISO 45001 (arbetshälso- och säkerhetsledning)*

Du kommer förmodligen att kontakta ditt befintliga certifieringsorgan först för att se om de också är ackrediterade för ISO 27001.

*obs – om du redan har certifieringar till andra ledningssystemstandarder kan du dra nytta av att integrera dessa i en enda "Integrerat ledningssystem" – och ISMS.online-plattformen kan hjälpa till att uppnå detta.

Vilka resurser behöver jag för implementering av ISO 27001?

Vi har ovan identifierat flera roller som kommer att vara involverade i implementeringen av ditt ISMS, men i huvudsak behöver du:

• Kompetent resurs (som en ledande implementerare) – med kunskap om standarden – kan ISMS.online-plattformen tillhandahålla mycket av den kompetens som krävs genom sitt förbyggda innehåll och verktyg.
• Kapacitet hos andra resurser – såsom ämnesrepresentanter från IT, Juridik, Faciliteter, Senior Management och affärsavdelningar.

Det är en väsentlig del av din ISMS-implementeringsplanering att du beaktar kompetens, kapacitet, förtroende och disciplinkrav för dina resurser om du vill uppnå framgångsrik, effektiv och effektiv implementering inom en rimlig tidsram.

Förutsatt att vi blir certifierade, vilka resurser kommer vi att behöva för underhåll?

Ett certifierat ISMS är en fortsatt resa, inte en destination. Som sådan kommer det att kräva en viss resursnivå för att upprätthålla den. Ju mer ett ISMS integreras i organisationens dagliga processer, och ju mer federerat ansvaret är, desto mindre omkostnader blir det.

Utöver de integrerade kontrollaspekterna av ISMS, måste du se till att de kritiska processerna för ISMS drivs:

• Riskhantering – Regelbunden översyn av risker för att säkerställa att behandlingarna förblir adekvata och proportionerliga.
• Internrevision – den pågående driften av ett internrevisionsprogram som täcker hela standarden, åtminstone inom certifieringsperioden (3 år för en UKAS-ackrediterad certifiering), och oftare granskar de områden med väsentlig verksamhet eller risk.

• Ledningsöversyn – En översyn av ledningen på högsta nivå av ISMS minst en gång per år för att säkerställa effektiviteten och effektiviteten hos ISMS när det gäller att uppnå de affärsledda målen för informationssäkerhet.
• Korrigerande åtgärder och fortsatt förbättring – processer för att säkerställa att ISMS kontinuerligt förbättras över tid och att avvikelser korrigeras inom en rimlig tidsram.

Vad kommer vi att behöva göra när standarden uppdateras?

Detta beror på uppdateringens karaktär. Alla ISO-standarder för ledningssystem granskas och uppdateras regelbundet.

Om standarden befinns vara i stort sett lämplig kan det vara så att endast smärre uppdateringar görs i formuleringen.

Men ibland omarbetas standarden av någon anledning. Detta resulterar i en större uppdatering som kan kräva en "övergång" granskning från en version av standarden till den nya.

Senast en större omstrukturering av ISO 27001 inträffade var 2013 (ändringen från 2005 års version till 2013 års version). Eftersom detta var en stor översyn beviljades organisationerna en övergångsperiod på två år.

Eftersom en sådan förändring kan skapa stora mängder arbete och kostnader för många organisationer, försöker ISO undvika sådana betydande förändringar där det är möjligt.

Oavsett uppdateringarna bör ditt certifieringsorgan meddela dig vad du behöver göra.

Var säker, vi kommer att uppdatera ISMS.online-plattformen för att återspegla standardens nuvarande version när detta händer.

Vad händer om mitt företag ändrar de produkter/tjänster vi erbjuder?

Beroende på hur betydande förändringarna är kan du kräva en extraordinär granskning av certifieringsorganet för att säkerställa att din certifiering täcker de nya produkterna och tjänsterna inom ISMS-räckvidden.

Det är dock vanligt att certifieringsorganet kombinerar denna revision med en periodisk övervakningsrevision eller vid din nästa omcertifieringsrevision.

Det är viktigt att notera att dina nya produkter eller tjänster kanske inte omfattas av din befintliga certifiering förrän bekräftelse från certifieringsorganet har givits.

Vad händer om vi öppnar ett nytt kontor i ett främmande land?

Precis som med ändringar av produkter/tjänster ovan kommer du sannolikt att kräva ytterligare granskning från ditt certifieringsorgan för att verifiera att din verksamhet i det nya landet omfattas av certifieringen.

En avgörande faktor att överväga för att utöka din ISO 27001 till att omfatta verksamhet i nya länder är att det nästan säkert kommer att finnas olika lagstiftning och förordningar om informationssäkerhet att beakta.

Vilken avdelning ska "äga" ISMS?

Det finns inget rätt eller fel svar på denna fråga, och det kommer att vara helt beroende av strukturen i din organisation och dess kultur. Det finns dock några viktiga punkter att tänka på:

• ISO 27001 är en standard för företagsledningssystem – så det kan vara bäst att placera ägarskapet i en affärsövergripande avdelning som Risk eller Compliance.
• Ägarskap kan placeras inom IT. Detta kan dock ofta leda till att informationssäkerhet blir ett IT-problem och kan missa standardens affärsledda aspekter.
• ISMS kan placeras inom en specifik avdelning för "informationssäkerhet", men detta kan leda till att aktiviteten "siloeras", interagerar dåligt med den bredare verksamheten eller ses som en "polis"-struktur som snabbt blir sedd som en blockerare snarare än en aktiverare.

Ett bra sätt som kan fungera för många organisationer är att ägandet är på organisationens högsta nivå. ISMS-operationen kan federeras över organisationen men koordineras av en ledande resurs, till exempel en CISO eller informationssäkerhetsansvarig.

Hur kan ISMS.online hjälpa mig att implementera ISO 27001 snabbare?

Genom att avmystifiera ISO 27001 och tillvägagångssättet för att implementera ett ISMS, kan ISMS.online-plattformen påskynda din implementering genom att fokusera dina ansträngningar på rätt plats vid rätt tidpunkt.

Dessutom, genom att tillhandahålla en allt-i-ett-plats ISMS-lösning, kan avsevärd tid sparas genom att inte behöva leta runt efter flera verktyg, sätta upp komplexa dokumentationsförråd och implementera nya processer – dessa är okej då i lådan från dag 1.

ISMS.online-plattformen kan bidra till att avsevärt minska till den tid som krävs för att implementera ett ISMS genom att förse dig med allt du behöver för att uppnå ISO 27001-certifiering första gången.

Hur gör ISMS.online implementera ISO 27001 enklare?

ISMS.online-plattformen avmystifierar ISO 27001 och implementerar och driver ett ISO 27001-kompatibelt och certifierat ISMS. Med denna och kontextualiserad information på rätt plats kommer ISMS.online-plattformen att hjälpa dig att enkelt anta, anpassa eller lägga till vårt exempelinnehåll och göra din resa till certifiering mycket enklare.