ISO 27001 berättat av företaget som äger det

Vad är ISO 27001 Certified Information Security Management System exakt och vilka standarder måste uppfyllas för att få det? Ger det verkligen verkligt värde på informationsmarknaden och varför lägger de största finansinstituten, som banker, så mycket vikt vid det?

(Transparent Data) (6 nov 2020)

ISO 27001 Information Security Management System standard

Njuter av Transparent Data : s fjärde successiva ISO 27001-granskning, vi avslöjar några stora och mindre hemligheter i denna internationella standard:

  • Vad ISO / IEC 27001 är och vem som har skapat det
  • Varför sägs det föra värde till informationsmarknaden
  • Varför är det värt att kontrollera om företaget som förser oss med data eller behandlar våra data har det
  • TOP ISO 27001 Q & A för com företag som undrar om de ska få det (bland annat vad som är den svåraste delen av hela certifieringsprocessen)
  • 4 viktiga steg i hela processen för att ansöka om ISO 27001 certifikat .

Vad är ISO / IEC 27001 Certified Information Security Management System exakt?

Generellt sett Information Security Management System (ISMS) som uppfyller den internationella standarden ISO / IEC 27001 är en uppsättning regler som definierar införandet och förbättringen av ett oberoende bedömt riskidentifieringssystem och ett exakt säkerhetssystem i ett företag inom alla verksamhetsområden .

Detta internationella, globalt respekterade certifikat och kraven för att få det har fastställts av International Organization for Standardization (ISO), som är för närvarande världens största icke-statliga organisation som upprättar affärsstandarder, och International Electrotechnical Commission (IEC), som är den mest kända globala organisationen för utveckling av teknikstandarder. De standarder som utarbetats av dessa organ utgör grunden för nationella standarder och referensen för internationella kontrakt och anbud.

Att uppfylla ISO / IEC 27001-standarden visar sig vara det högsta skydd av all affärs- och konfidentiell information och därmed minimerar risken för obehörig åtkomst till dem.

Att få detta certifikat rankas bredvid de största företagen i världen marknadsföra. Detta är en särskild skillnad, eftersom det fortfarande finns få företag som arbetar med tillhandahållande av ekonomisk och affärsinformation eller implementering av verktyg som stöder analysen av information för företag kan skryta med att uppfylla denna standard.

Vilket värde har ISO 27001 kommer till informationsmarknaden?

När vi funderar på att stödja vår egen verksamhet med extern affärsinformation, tar vi i första hand hänsyn till dess aktualitet och trovärdighet. Ingen behöver föråldrad information eftersom det finns en nyare, ändrad version av den. Gissningar, åsikter, opålitliga uppgifter är inte något som vi vill basera våra beslut på.

Om vi ​​noga överväger förfarandet för att köpa företagsinformation kommer vi att snabbt komma till ytterligare en slutsats – det är inte bara viktigt vad vi köper utan också från vem. Hur information lagras, vem som har tillgång till den och hur den skyddas mot oönskat läckage är lika viktigt. Låt oss till exempel komma ihåg årets uppmärksammade dataintrång mot Zooms kunder.

Låt oss säga det igen:

vem vi köper information från ärenden.

Detta är en av anledningarna till att de mest kraftfulla institutionerna, såsom banker, beslutar att samarbeta endast med företag som är certifierade enligt ISO / IEC 27001-standarden.

ISO 27001 från perspektivet för företaget som har det: TOP Q & A

Vad betyder det att få ISO / IEC 27001-certifiering i praktiken? Hur påverkar det affärsverksamheten?

Själva processen för att uppnå överensstämmelse med standarden ger företagets interna processer, dess uppdrag och mål – det gör det möjligt att organisera tillämpad praxis och stöder utvecklingen av goda vanor att ta hand om informationssäkerhet av företagets anställda på alla nivåer.

Som den enda standarden tillåter det också att verifiera om de lösningar som företaget antar verkligen ligger på högsta nivå eller om säkerhetssystemet ska förbättras. Sådan kunskap är alltid värdefull för ett utvecklingsorienterat företag.

Externt öppnar dock uppnå ISO 27001 dörren till samarbete med de mest krävande kunderna, som banker eller globala företag. Med andra ord påverkar det positivt tillväxten av kundernas förtroende och företagets trovärdighet på marknaden.

Om värdet av ISO 27001-standarden bidrar till att öka kundernas förtroende och företagets trovärdighet, varför gör det så små företag som tillhandahåller information inte ansöker om detta certifikat?

Förfarandet för att erhålla ISO / IEC 27001 är långt, komplicerat och kräver att företaget uppfyller mycket exakta krav beträffande riskidentifieringssystemet och ekonomins säkerhet. affärs- och konfidentiell information. Ett certifierat informationssäkerhetshanteringssystem är vanligtvis förknippat med många månaders förberedelser och utbildning, varför de flesta företag tror att det bara är tillgängligt för de största aktörerna med betydande kapital och hundratals anställda.

Oavsett om de är små och kan medelstora företag också få ISO 27001-certifiering?

Ja, och vi vet det av vår egen erfarenhet. I Transparent Data har vi inte hundratals anställda och ändå lyckades vi bryta den stereotyp som storleken betyder. Vi är ett relativt litet programvaruhus, men är i gengäld väldigt smidiga och snabba, därför, trots det ökade antalet skyldigheter som föll på oss tillsammans med förberedelserna för certifieringsrevisionen, gick vi igenom hela proceduren smidigt.

Hur länge är ISO 27001-certifiering giltig?

Standard 3 år, men minst en gång om året kommer certifieringsorganet till företaget för att ompröva både överensstämmelse med ISO 27001-standarder och om företaget verkligen strävar efter att förbättra systemen. Till skillnad från de flesta andra standarder är den här därför unik. Arbetet slutar inte med att få det. Du måste fortfarande vara beredd att behålla det.

Är det svårt att uppfylla internationella säkerhetsstandarder för informationshantering? Är ISO 27001 relaterat till implementeringen av komplicerade procedurer?

Om du är ett företag som har verkat på marknaden i många år och har stora, krävande kunder i sin portfölj, är de flesta säkerhetsprocedurerna redan i praktiken, och om inte, kommer deras genomförande inte att orsaka dig mycket problem. Det var åtminstone vårt fall. Som dataleverantör var vi tvungna att förbättra våra procedurer mer än en eller två gånger för att uppfylla de mycket höga säkerhetskraven hos finansinstitut långt innan vi fortsatte med ISO / IEC 27001-certifiering. Därför var implementeringen inte särskilt svår för oss.

Hela upplevelsen visade sig dock vara mycket värdefull ur organisationskulturens synvinkel – vi har redan gjort många saker innan ISO 27001, men bara Att se dem skrivna i form av krav gjorde oss fullt medvetna om varför vi gör det. Som organisation har vi definitivt gynnats av det.

Vad är den svåraste delen av hela ISO 27001-certifieringsprocessen?

Vi borde nog inte prata om det högt, men låt oss vara transparenta – den svåraste delen är den formella delen, dvs högar med dokument som väntar på att fyllas i. Tyvärr bör du reservera några veckor för den här aktiviteten och komma ihåg att varje förändring i företaget, även om det är en bagatell som byta ut en dator, kräver inte att fylla i ytterligare ett dokument utan en fullständig mapp med dokument.

Finns det några specifika policyer som definierar standarden för informationssäkerhetshantering?

Det viktigaste sak som behöver utvecklas är Integrated Management System Book, som definierar hela omfattningen av skyldigheter som måste uppfyllas för att uppfylla ISO-standarden. Den innehåller hela listan med procedurer, instruktioner, policyer, företagsresurser och ledningsansvar. Diagram.

Därefter har vi bland annat informationssäkerhetspolicyn, som definierar omfattningen av ansvar och skyldigheter relaterade till behandlingen av personuppgifter (t.ex. uppgifter från informationssäkerhetsadministratören, IT-systemadministratören, integrerad systemadministratör och andra anställda i företaget). Den beskriver också vilka typer av data vi hanterar som företag, i vilka system de bearbetas eller vilka datauppsättningar vi är kontrollen över.

Andra huvudpolicyer inkluderar till exempel Business Continuity Management Policy, som syftar till att garantera stabiliteten i arbetet inom informationshantering. Den måste inkludera bland annat scenarier för beteende vid en cyberattack, systemfel, strömavbrott, bränder, katastrofer, frånvaro av nyckelpersoner eller förlust av tillgångar som är viktiga för företaget.

Hur ser hela processen att ansöka om ett ISO 27001-certifikat ut?

Hela processen med att ansöka om ett ISO 27001-certifikat kan delas in i fyra viktiga steg:

  1. Vad du behöver göra i början är en grundlig studie av kraven i ISO 27001 och analyserar sedan alla dokument som företaget redan har när det gäller dem. Om vi ​​hittar brister eller inkonsekvenser måste vi anpassa våra interna policyer till en internationell standard och redigera eller skapa nya dokument.
  2. Nästa steg är att utbilda alla anställda och hela ledningen i gällande policyer i ISO / IEC 27001-standarden. Detta kräver naturligtvis utnämningen av lämpliga personer i företaget, som kommer att ansvara för projektet från A till Ö.
  3. Endast då kan du börja implementera nödvändigt säkerhetssystem stammar, och de måste ”arbeta” i företagets naturliga vardagliga miljö i minst flera månader , och om de verkligen fungerar bör bekräftas av en intern revision, vilket innebär att någon i företaget måste vara en intern certifierad revisor eller få tillämpliga behörigheter.
  4. Om vi ​​redan har slutfört skapandet av all dokumentation, utbildning av anställda och i praktiken följer vi de angivna standarderna, först då har vi grönt ljus för att starta officiella ansträngningar för att få ett certifikat. Vi måste sedan hitta ett organ för certifiering av externa ledningssystem och vara redo för en oberoende extern granskning . Det är först efter denna formella bedömning som företaget får certifikatet.

Det verkliga värdet av ISO 27001 i affärer (kundperspektiv)

Att förklara vikten av 27001-standard inom företagsdata, kan vi jämföra företag som tillhandahåller affärsinformation till mynta. Varje företag förser marknaden med ekonomisk information, dvs. guld. Dessa mer medvetna företag försöker öka säkerheten hos sina kunder och sina egna genom att vidta särskilda försiktighetsåtgärder, som att skydda konvojen eller ytterligare säkerhetslås. ISO 27001 i denna jämförelse är en specialenhet och en 15 mm tjock kedja med tre hänglås – en för kombinationen, den andra för fingeravtryck och den tredje för vad du just åt till frukost.

Du kanske också gillar :

(

Äldre systemproblem – ABC: s tekniska skuld

Äldre system – det här namnet återspeglar perfekt både deras föråldrade och problematiska karaktär. Dessa applikationer och …

medium.com

) (

Hur hanterar man äldre system? Strategier för att komma ur tekniska skulder

Att bygga ett nytt system från grunden, kodomformning och omskrivning av kod – det här är tre strategier för att komma ur …

medium.com

) (

Automatisering av B2B-kundintegrering med föreskrivande data

Hur man förkortar företagskundens registreringsprocess och påskynda ombordstigning? Vilka fält i registreringen …

medium.com

)