כיצד 4way Consulting סללה את הדרך להצלחה בתקן ISO 27001

חברת 4way Consulting מספקת ייעוץ ותמיכה טכנולוגיים מיוחדים, תוך שיפור הבטיחות, האמינות והנגישות של שירותי תחבורה בבריטניה. החברה תומכת בממשלות מקומיות ומרכזיות בניהול רשתות תחבורה באמצעות פריסת טכנולוגיה. הצוות, המונה כ-45 איש, ממוקם בעיקר במנצ'סטר ובברמינגהם.

צוות הייעוץ 4way ביקש ליישם את תקן ISO 27001 לניהול אבטחת מידע כדי להשלים את הסמכת ניהול האיכות הקיימת שלהם, ISO 9001.

הם שקלו גם תקן ISO 45001 לניהול בריאות ובטיחות (H&S), מכיוון שלעסק הייתה מערכת ניהול H&S קיימת המכילה חומר שממנו יכלו לבנות את תאימותם. מכיוון שהעסק טיפל במידע רגיש, הסמכת ISO 27001 הייתה חיונית כדי להראות ש-4way Consulting יישמה שיטות עבודה מומלצות לאבטחת מידע. הם היו זקוקים לדרך ליישם את התקן באופן אסטרטגי ולחסוך זמן ומשאבים.

"היינו צריכים לקבוע את הדרך היעילה ביותר מבחינת עלות וזמן להשגת הסמכה", אמר איאן פנגלי, מנהל טכני לדיגיטל ב-4way Consulting. אפשרות אחת שאיאן והצוות שקלו הייתה לבנות את מערכת ניהול אבטחת המידע (ISMS) שלהם מאפס. חלופה נוספת הייתה לאמץ את המערכת מבוססת SharePoint שהייתה בשימוש חברת אחות. אף אחת מהאפשרויות הללו לא הציעה את היעילות או הריכוזיות שהצוות חיפש להשיג.

צוות 4way Consulting השתמש בפלטפורמת IO כדי ליישם את תקן ISO 27001, והוא נמצא בתהליך של יישום ISO 45001, וכן בהעברת עבודת הניהול הקיימת שלהם לתקן ISO 9001 לפלטפורמה. 

הצוות השתמש בשיטת 11 השלבים של Assured Results (ARM) כדי לקדם את תאימותם לתקן ISO 27001, וכן להתאים אישית את תבניות המדיניות והבקרה המוכנות מראש של הפלטפורמה.

העסק גם השתמש בתכונת רישום הסיכונים של הפלטפורמה כדי ליצור סיכום על פני תקני ISO 27001, ISO 45001 ו-ISO 9001. הם יצרו אשכול חדש בתוך פלטפורמת ה-IO, וקישר אותו לרישומי הסיכונים של הסטנדרטים שלהם. זה סיפק רישום סיכונים מאוחד שניתן לסנן אותו עד לסיכונים בעלי הניקוד הגבוה ביותר ולשמש אותו כרישום סיכונים תאגידי, ואפשר לצוות הניהול להעריך ולטפל בסיכונים אלה בתדירות גבוהה יותר.

פלטפורמת ה-IO האינטואיטיבית גם תמכה בעסק בקישור בין הסיכונים, הנכסים והבקרות שלו, וסיפקה בהירות לגבי האופן שבו 4way Consulting ניהלה סיכונים בהתאם לדרישות הסטנדרטים.

בנוסף, מודעות ומעורבות עובדים הם קריטיים לעמידה מתמשכת בתקני ISO; חברת 4way Consulting התאימה את גישתה ללמידת עובדים בהתבסס על המדיניות והנהלים שלה בפלטפורמת IO.

הם שיתפו את התיעוד שלהם עם העובדים, שחתמו על מסמך היכרות כדי לוודא שקראו והבינו כל מסמך, ובמקביל אפשרו להם לספק משוב על תחומים בהם נדרשו הבהרות נוספות. זה איפשר להם לתעד את המשוב הזה, לעדכן את המסמכים ולעקוב אחר גרסאות בתוך פלטפורמת ה-IO, ולספק ראיות נוספות למעורבות העובדים ולתמוך בהסמכתם.

העסק גם מפתח את מערכת ניהול הלמידה (LMS) שלו עם תוכן וידאו אינטראקטיבי, שיאפשר משוב נוסף, מעקב אחר מעורבות העובדים וניתן יהיה לתעד אותה כראיה לתאימות.

חברת 4way Consulting השיגה את הסמכת ISO 27001 תוך 17 חודשים, אם כי הצוות מעריך שזה היה לוקח כ-10 חודשים עם יותר משאבים זמינים.

איאן משתף שקלות השימוש בפלטפורמה הובילה לתהליך ביקורת יעיל יותר:

תקני ISO דורשים שיפור מתמיד, ולכן הצוות ממקד את מאמציו בשיפור תאימותם לתקן ISO 27001, ביצוע סקירות סדירות של סיכונים ובקרות, והערכת רישום הסיכונים של העסק. צוות IO ממשיך לתמוך ב-4way Consulting בעוד איאן והצוות מבשילים את מערכת ניהול אבטחת המידע (ISMS) שלהם ומסתכלים על הצעדים הבאים שלהם: הסמכות ISO נוספות.

איאן וצוות הייעוץ 4way ממשיכים ליישם את תקן ISO 45001 לניהול בריאות ובטיחות.

הם גם ממשיכים להעביר את ניהול האיכות ISO 9001 שלהם לפלטפורמת IO. הצוות גם יוצר סרטוני הדרכה בעזרת צוות הלמידה והפיתוח כדי לתמוך בתהליך קליטת העובדים, לשמור על מודעות העובדים הקיימת ולהבטיח שהספקים עומדים בדרישות אבטחת המידע של 4way Consulting.