ISO 27001 fortalt av selskapet som eier det

Hva er ISO 27001 Certified Information Security Management System, og hvilke standarder må oppfylles for å oppnå det? Gir det virkelig verdi til informasjonsmarkedet, og hvorfor legger de største finansinstitusjonene, som banker, så mye vekt på det?

(Transparent Data) (6. nov. 2020)

ISO 27001 Information Security Management System standard

Nyt Transparent Data sin fjerde påfølgende ISO 27001-revisjon, avslører vi noen store og mindre hemmeligheter med denne internasjonale standarden:

  • Hva ISO / IEC 27001 er og hvem som opprettet det
  • Hvorfor sies det å bringe verdi til informasjonsmarkedet
  • Hvorfor det er verdt å sjekke om selskapet som gir oss data eller behandler dataene våre har det
  • TOP ISO 27001 Q & A for com selskaper som lurer på om de skal få det (blant annet hva som er den vanskeligste delen av hele sertifiseringsprosessen)
  • 4 viktige trinn i hele prosessen med å søke om ISO 27001 sertifikat .

Hva er egentlig ISO / IEC 27001 Certified Information Security Management System?

Generelt sett, Information Security Management System (ISMS) i samsvar med den internasjonale ISO / IEC 27001-standarden er et sett med regler som definerer introduksjon og forbedring av et uavhengig vurdert risikoidentifikasjonssystem og et presist sikkerhetssystem i et selskap innen alle aktivitetsområder .

Dette internasjonale, globalt respekterte sertifikatet og kravene for å oppnå det er etablert av International Organization for Standardization (ISO), som er for tiden verdens største ikke-statlige organisasjon som etablerer forretningsstandarder, og International Electrotechnical Commission (IEC), som er den mest kjente globale utviklingen av teknologistandarder. Standardene utarbeidet av disse organene danner grunnlaget for nasjonale standarder og referansen for internasjonale kontrakter og anbud.

Oppfyllelse av ISO / IEC 27001-standarden viser seg at den høyeste beskyttelse av alle forretnings- og konfidensielle data, og dermed minimere risikoen for uautorisert tilgang til dem.

Å skaffe dette sertifikatet rangerer ved siden av de største selskapene på verdensbasis marked. Dette er et spesielt skille, fordi det fremdeles er få selskaper som arbeider med økonomisk og forretningsinformasjon eller implementering av verktøy som støtter analysen av informasjon for virksomheten, kan skryte av å oppfylle denne standarden.

Hvilken verdi har ISO 27001 bringe til informasjonsmarkedet?

Når vi tenker på å støtte vår egen virksomhet med ekstern forretningsinformasjon, er det vi først og fremst tar hensyn til den er aktualitet og troverdighet. Ingen trenger utdatert informasjon siden det er en nyere, endret versjon av den. Gjetninger, meninger, upålitelige data er ikke noe vi vil basere våre beslutninger på.

Hvis vi nøye vurderer fremgangsmåten for å kjøpe bedriftsinformasjon, vil vi raskt komme til en konklusjon til – det er ikke bare viktig hva vi kjøper, men også fra hvem. Hvordan informasjon lagres, hvem som har tilgang til den, og hvordan den er beskyttet mot uønsket lekkasje er like viktig. La oss huske for eksempel årets høyprofilerte databrudd på personopplysningene til Zooms kunder.

La oss si det igjen:

hvem vi kjøper informasjon fra saker.

Dette er en av grunnene til at de mektigste institusjonene, for eksempel banker, bestemmer seg for å samarbeide kun med bedrifter som er sertifisert av ISO / IEC 27001-standarden.

ISO 27001 fra perspektivet til selskapet som har det: TOP Q & A

Hva betyr å oppnå ISO / IEC 27001-sertifisering i praksis? Hvordan påvirker det forretningsdriften?

Selve prosessen med å oppnå samsvar med standarden gir betydelig verdi for de interne prosessene i selskapet, dets oppdrag og mål – det gjør det mulig å organisere anvendt praksis og støtter utviklingen av gode vaner for å ivareta informasjonssikkerhet av selskapets ansatte på alle nivåer.

Som den eneste standarden tillater det også å verifisere om løsningene som er vedtatt av selskapet virkelig ligger på høyeste nivå, eller om sikkerhetssystemet bør forbedres. Slik kunnskap er alltid verdifull for et utviklingsorientert selskap.

Eksternt, men å oppnå ISO 27001 åpner imidlertid for samarbeid med de mest krevende kundene, som banker eller globale selskaper. Med andre ord, det påvirker positivt veksten i kundenes tillit og selskapets troverdighet på markedet.

Hvis verdien av ISO 27001-standarden bidrar til å øke kundetilliten og selskapets troverdighet, hvorfor gjør det så lite selskaper som gir informasjon som ikke søker om dette sertifikatet?

Fremgangsmåten for å oppnå ISO / IEC 27001 er lang, komplisert og krever at selskapet oppfyller svært nøyaktige krav til risikoidentifikasjonssystemet og sikkerheten til økonomiske, forretnings- og konfidensiell informasjon. Et sertifisert informasjonssikkerhetsstyringssystem er ofte forbundet med mange måneders forberedelse og opplæring, og det er derfor de fleste selskaper mener at det bare er tilgjengelig for de største aktørene med betydelig kapital og hundrevis av ansatte.

Enten små og mellomstore selskaper kan også få ISO 27001-sertifisering?

Ja, og vi kjenner det fra vår egen erfaring. I Transparent Data har vi ikke hundrevis av ansatte, og likevel klarte vi å bryte stereotypen som størrelsen betyr noe. Vi er et relativt lite dataprogramvarehus, men er til gjengjeld veldig smidige og raske, og til tross for det økte antall forpliktelser som falt på oss sammen med forberedelsene til sertifiseringsrevisjonen, gikk vi greit gjennom hele prosedyren.

Hvor lenge er ISO 27001-sertifisering gyldig?

Standard 3 år, men minst en gang i året kommer sertifiseringsorganet til selskapet for å kontrollere på nytt både samsvar med ISO 27001-standarder og om selskapet virkelig prøver å forbedre systemene. I motsetning til de fleste andre standarder, er denne derfor unik. Arbeidet ender ikke med å skaffe det. Du må fremdeles være forberedt på å beholde den.

Er det vanskelig å oppfylle internasjonale sikkerhetsstandarder for informasjonshåndtering? Er ISO 27001 relatert til implementering av kompliserte prosedyrer?

Hvis du er et selskap som har drevet på markedet i mange år og har store, krevende kunder i sin portefølje, er de fleste av sikkerhetsprosedyrene allerede i praksis, og hvis ikke, vil implementeringen ikke forårsake deg store problemer. I det minste var det vår sak. Som dataleverandør måtte vi forbedre prosedyrene våre mer enn en eller to ganger for å oppfylle de svært høye sikkerhetskravene til finansinstitusjoner lenge før vi fortsatte med ISO / IEC 27001-sertifisering. Derfor var implementering ikke spesielt vanskelig for oss.

Hele opplevelsen viste seg imidlertid å være veldig verdifull fra organisasjonskulturens synspunkt – vi har allerede gjort mange ting før ISO 27001, men bare å se dem skrevet i form av krav gjorde oss fullstendig klar over hvorfor vi gjør det. Som organisasjon har vi definitivt hatt nytte av det.

Hva er den vanskeligste delen av hele ISO 27001-sertifiseringsprosessen?

Vi burde sannsynligvis ikke snakke høyt, men la oss være gjennomsiktige – den vanskeligste delen er den formelle delen, dvs. bunker med dokumenter som venter på å bli fylt ut. Dessverre bør du reservere noen uker for denne aktiviteten og huske at hver endring i selskapet, selv om det er en bagatell som å bytte ut en datamaskin, krever ikke å fylle ut ett ekstra dokument, men en full mappe med dokumenter.

Er det noen spesifikke policyer som definerer standarden for administrasjon av informasjonssikkerhet?

Det viktigste det som må utvikles er Integrated Management System Book, som definerer hele omfanget av forpliktelser som må oppfylles for å overholde ISO-standarden. Den inneholder hele listen over prosedyrer, instruksjoner, retningslinjer, selskapets ressurser og ledelsesansvarskart.

Deretter har vi blant annet informasjonssikkerhetspolitikken, som definerer omfanget av ansvar og forpliktelser knyttet til behandlingen av personlige data (f.eks. plikter til informasjonssikkerhetsadministratoren, IT-systemadministratoren, integrert systemadministrasjonsrepresentant og andre ansatte i selskapet). Den beskriver også hvilke typer data vi administrerer som et selskap, i hvilke systemer de behandles eller hvilke datasett vi er kontrolløren av.

Andre hovedretningslinjer inkluderer for eksempel Business Continuity Management Policy, som har som mål å garantere stabiliteten i arbeidet innen informasjonsbehandling. Den må omfatte blant annet scenarier for atferd i tilfelle et cyberangrep, systemfeil, strømbrudd, branner, katastrofer, fravær av nøkkelmedarbeidere eller tap av eiendeler som er viktig for selskapet.

Hvordan ser hele prosessen med å søke om et ISO 27001-sertifikat ut?

Hele prosessen med å søke om et ISO 27001-sertifikat kan deles inn i fire viktige trinn:

  1. Det du trenger å gjøre helt i begynnelsen er en grundig studie av kravene i ISO 27001, og analyser deretter alle dokumenter som selskapet allerede har når det gjelder dem. Hvis vi finner mangler eller inkonsekvenser, må vi justere vår interne policy til en internasjonal standard og redigere eller opprette nye dokumenter.
  2. Neste trinn er å trene alle ansatte og hele ledelsen i gjeldende retningslinjer i ISO / IEC 27001-standarden. Dette krever , selvfølgelig, utnevnelsen av passende personer i selskapet, som vil være ansvarlig for prosjektet fra A til Å.
  3. Bare da kan du begynne å implementere nødvendig sikkerhetssystem stammer, og de må «jobbe» i selskapets naturlige hverdagsliv i minst flere måneder , og om de virkelig fungerer, bør bekreftes av en intern revisjon, som betyr at noen i selskapet må være internt sertifisert revisor eller oppnå gjeldende tillatelser.
  4. Hvis vi allerede har fullført opprettelsen av all dokumentasjon, opplæring av ansatte og i praksis, overholder vi faktisk de angitte standardene, først da har vi grønt lys for å starte offisiell innsats for å skaffe et sertifikat. Vi må da finne et sertifiseringsorgan for eksterne styringssystemer og være klare for en uavhengig ekstern revisjon . Det er først etter denne formelle vurderingen at selskapet mottar sertifikatet.

Den virkelige verdien av ISO 27001 i virksomheten (klientperspektiv)

For å forklare viktigheten av 27001 standard innen bedriftsdata, kan vi sammenligne selskaper som gir forretningsinformasjon til mynter. Hvert selskap forsyner markedet med økonomisk informasjon, dvs. gull. Disse mer bevisste selskapene prøver å øke sikkerheten til sine kunder og sine egne ved å ta spesielle forholdsregler, for eksempel å beskytte konvoien eller ekstra sikkerhetslåser. ISO 27001 i denne sammenligningen er en spesiell enhet og en 15 mm tykk kjede med tre hengelåser – en for kombinasjonen, den andre for fingeravtrykk og den tredje for det du nettopp spiste til frokost.

Du vil kanskje også like :

(

Det eldre systemproblemet – ABC for teknologisk gjeld

Legacy systems – dette navnet gjenspeiler perfekt både deres foreldede og problematiske natur. Disse applikasjonene og…

medium.com

) (

Hvordan håndtere eldre systemer? Strategier for å komme seg ut av teknologisk gjeld

Bygge et nytt system fra bunnen av, kodeomforming og omskriving av kode – Dette er tre strategier for å komme seg ut av …

medium.com

) (

Automatisering av B2B-kunden ombord med regulatoriske data

Hvordan forkorte registreringen av bedriftskundene og øke hastigheten på ombordstigning? Hvilke felt i registreringen…

medium.com

)