גישה משולבת כיצד isms.online השיג את באנר הסמכה מחדש של ISO 27001 ו-ISO 27701

גישה משולבת: כיצד השיגה ISMS.online הסמכה מחדש של ISO 27001 ו-ISO 27701

4 דצמבר 2024

תוכן עניינים:

1) מהו ISO 27701?
2) מדוע ארגונים צריכים לנסות ליישם את ISO 27701?
3) הכנת ביקורת הסמכה מחדש של ISO 27001 ו-ISO 27701
4) למה לצפות במהלך ביקורת ISO 27001 ו-ISO 27701
5) אנשים, תהליכים וטכנולוגיה: גישה משולשת ל-IMS
6) ISO 27701 מפת דרכים - הורד עכשיו
7) פתח את יתרון התאימות שלך

באוקטובר 2024, השגנו הסמכה מחדש ל ISO 27001, תקן אבטחת המידע, ו ISO 27701, תקן פרטיות הנתונים. עם ההסמכה המחודשת המוצלחת שלנו, ISMS.online נכנסת למחזור ההסמכה החמישי של שלוש שנים - אנו מחזיקים בתקן ISO 27001 כבר למעלה מעשור! אנו שמחים לחלוק שהשגנו את שתי ההסמכות עם אפס אי-התאמות והרבה למידה.

כיצד הבטחנו שניהלנו ביעילות והמשכנו לשפר את פרטיות הנתונים ואבטחת המידע שלנו? השתמשנו בפתרון התאימות המשולב שלנו - נקודת אמת אחת, או SPoT, כדי לבנות את מערכת הניהול המשולבת שלנו (IMS). IMS שלנו משלב את מערכת ניהול אבטחת המידע שלנו (ISMS) ומערכת ניהול מידע פרטיות (PIMS) לפתרון אחד חלק.

בבלוג זה, הצוות שלנו חולק את מחשבותיו על התהליך והניסיון ומסביר כיצד ניגשנו לביקורות ההסמכה מחדש של ISO 27001 ו-ISO 27701.

מהו ISO 27701?

ISO 27701 הוא הרחבת פרטיות ל-ISO 27001. התקן מספק הנחיות ודרישות להטמעה ותחזוקה של PIMS במסגרת ISMS קיימת.

מדוע ארגונים צריכים לנסות ליישם את ISO 27701?

ארגונים אחראים לאחסון וטיפול במידע רגיש יותר מאי פעם. נפח כל כך גבוה - וגדל - של נתונים מציע יעד משתלם עבור גורמי איומים ומציג דאגה מרכזית עבור צרכנים ועסקים כדי להבטיח שהוא נשמר.

עם הצמיחה של תקנות גלובליות, כגון GDPR, CCPA ו HIPAA, לארגונים יש אחריות משפטית גוברת והולכת להגן על נתוני הלקוחות שלהם. בעולם, אנו מתקדמים בהתמדה לעבר נוף תאימות שבו אבטחת מידע לא יכולה להתקיים עוד ללא פרטיות הנתונים.

היתרונות של אימוץ ISO 27701 מתרחבים מעבר לסיוע לארגונים לעמוד בדרישות הרגולציה והתאימות. אלה כוללים הפגנת אחריות ושקיפות לבעלי עניין, שיפור אמון ונאמנות הלקוחות, הפחתת הסיכון להפרות פרטיות ועלויות נלוות, ופתיחת יתרון תחרותי.

הכנת ביקורת הסמכה מחדש של ISO 27001 ו-ISO 27701

מכיוון שביקורת ISO 27701 זו הייתה הסמכה מחדש, ידענו שהיא צפויה להיות מעמיקה יותר ובעלת היקף גדול יותר מביקורת מעקב שנתית. זה היה אמור להימשך 9 ימים בסך הכל. כמו כן, מאז הביקורת הקודמת שלנו, ISMS.online העביר את המטה, השיג משרד נוסף והיו לו מספר שינויים בכוח אדם. היינו מוכנים לטפל בכל אי התאמה שנגרמה משינויים אלה, אם המבקר ימצא כאלה.

סקירת IMS

לפני הביקורת שלנו, בדקנו את המדיניות והבקרות שלנו כדי להבטיח שהם עדיין משקפים את גישת אבטחת המידע והפרטיות שלנו. בהתחשב בשינויים הגדולים בעסק שלנו ב-12 החודשים האחרונים, היה צורך להבטיח שנוכל להפגין מעקב ושיפור מתמשכים של הגישה שלנו.

זה כלל הבטחה שתוכנית הביקורת הפנימית שלנו מעודכנת ומלאה, שנוכל להוכיח את התוצאות של פגישות ניהול ה-ISMS שלנו, ושמדדי ה-KPI שלנו היו מעודכנים כדי להראות שאנחנו מודדים את ביצועי המידע והפרטיות שלנו.

ניהול סיכונים וניתוח פערים

ניהול סיכונים וניתוח פערים צריכים להיות חלק מתהליך השיפור המתמיד בעת שמירה על תאימות הן ל-ISO 27001 והן ל-ISO 27701. עם זאת, לחצים עסקיים יומיומיים עשויים להקשות על כך. השתמשנו בכלי ניהול פרויקטים של פלטפורמת ISMS.online משלנו כדי לתזמן סקירות סדירות של המרכיבים הקריטיים של ה-ISMS, כגון ניתוח סיכונים, תוכנית ביקורת פנימית, KPIs, הערכות ספקים ופעולות מתקנות.

שימוש בפלטפורמת ה-ISMS.online שלנו

כל המידע הנוגע למדיניות ולבקרות שלנו מוחזק בפלטפורמת ISMS.online שלנו, הנגישה לכל הצוות. פלטפורמה זו מאפשרת בדיקה ואישור של עדכונים משותפים וכן מספקת ניהול גרסאות אוטומטי וציר זמן היסטורי של כל שינוי.

הפלטפורמה גם מתזמנת אוטומטית משימות סקירה חשובות, כגון הערכות סיכונים וביקורות, ומאפשרת למשתמשים ליצור פעולות כדי להבטיח שהמשימות יושלמו בתוך לוחות הזמנים הדרושים. מסגרות הניתנות להתאמה אישית מספקות גישה עקבית לתהליכים כגון הערכות ספקים וגיוס, תוך פירוט משימות המידע החשובות והפרטיות שיש לבצע עבור פעילויות אלו.

למה לצפות במהלך ביקורת ISO 27001 ו-ISO 27701

במהלך הביקורת, המבקר ירצה לסקור כמה תחומים מרכזיים ב-IMS שלך, כגון:

המדיניות, הנהלים והתהליכים של הארגון שלך לניהול נתונים אישיים או אבטחת מידע
הערך את סיכוני אבטחת המידע והפרטיות שלך ואת הבקרות המתאימות כדי לקבוע אם הבקרות שלך מפחיתות ביעילות את הסיכונים שזוהו.
העריך את שלךניהול אירועים. האם היכולת שלך לזהות, לדווח, לחקור ולהגיב לאירועים מספיקה?
בדוק את הנהלת הצד השלישי שלך כדי לוודא שקיימים בקרות נאותות לניהול סיכונים של צד שלישי.
בדוק את תוכניות ההכשרה שלך כדי לחנך את הצוות שלך בצורה נאותה בענייני פרטיות ואבטחת מידע.
סקור את מדדי הביצועים של הארגון שלך כדי לוודא שהם עומדים ביעדי הפרטיות ואבטחת המידע המתוארים שלך.

תהליך הביקורת החיצונית

לפני תחילת הביקורת שלך, המבקר החיצוני יספק לוח זמנים המפרט את ההיקף שהם רוצים לכסות ואם הם רוצים לדבר עם מחלקות או צוות ספציפיים או לבקר במקומות מסוימים.

היום הראשון מתחיל בפגישת פתיחה. חברי צוות ההנהלה, במקרה שלנו, המנכ"ל וה-CPO, נוכחים כדי לשכנע את המבקר שהם מנהלים, תומכים באופן פעיל ועוסקים בתוכנית אבטחת המידע והפרטיות עבור הארגון כולו. זה מתמקד בסקירה של מדיניות ובקרות של סעיפי ניהול ISO 27001 ו-ISO 27701.

לביקורת האחרונה שלנו, לאחר סיום פגישת הפתיחה, מנהל ה-IMS שלנו יצר קשר ישיר עם המבקר כדי לבדוק את המדיניות והבקרות של ISMS ו-PIMS בהתאם ללוח הזמנים. מנהל ה-IMS גם איפשר את התקשרות בין המבקר לבין צוותי ISMS.online ואנשי צוות רחבים יותר כדי לדון בגישתנו למדיניות ובקרות אבטחת המידע והפרטיות השונות ולהשיג ראיות לכך שאנו פועלים לפיהן בפעילות היומיומית.

ביום האחרון מתקיימת פגישת סיום שבה המבקר מציג רשמית את ממצאיו מהביקורת ומספק הזדמנות לדון ולהבהיר כל נושא הקשור. שמחנו לגלות שלמרות שהמבקר שלנו העלה כמה הערות, הוא לא גילה אי התאמה.

אנשים, תהליכים וטכנולוגיה: גישה משולשת ל-IMS

חלק מ ISMS.online האתוס הוא שאבטחת מידע יעילה ובת קיימא ופרטיות נתונים מושגות באמצעות אנשים, תהליכים וטכנולוגיה. גישה טכנולוגית בלבד לעולם לא תצליח.

גישה טכנולוגית בלבד מתמקדת בעמידה בדרישות המינימום של התקן במקום בניהול יעיל של סיכוני פרטיות הנתונים בטווח הארוך. עם זאת, האנשים והתהליכים שלך, לצד מערך טכנולוגיה חזק, יציבו אותך לפני החבילה וישפרו משמעותית את אבטחת המידע ויעילות הפרטיות שלך.

כחלק מהכנת הביקורת שלנו, למשל, וידאנו שהאנשים והתהליכים שלנו היו מיושרים על ידי שימוש בתכונת ISMS.online policy pack כדי להפיץ את כל המדיניות והבקרות הרלוונטיות לכל מחלקה. תכונה זו מאפשרת מעקב אחר קריאת המדיניות והבקרות של כל אדם, מבטיחה שאנשים מודעים לתהליכי אבטחת מידע ופרטיות הרלוונטיים לתפקידם, ומבטיחה תאימות לרשומות.

גישת תיבת סימון פחות יעילה תהיה לרוב:

כרוך בהערכת סיכונים שטחית, שעלולה להתעלם מסיכונים משמעותיים
התעלם מדאגות הפרטיות של בעלי עניין מרכזיים.
להעביר הכשרה גנרית שאינה מותאמת לצרכים הספציפיים של הארגון.
בצע ניטור מוגבל ובדיקה של הבקרות שלך, מה שעלול לגרום לאירועים שלא אותרו.

כל אלה פותחים ארגונים בפני הפרות פוטנציאליות, קנסות כספיים ופגיעה במוניטין.

מייק ג'נינגס, מנהל ה-IMS של ISMS.online מייעץ: "אל תשתמש בסטנדרטים רק כרשימה כדי לקבל הסמכה; 'חיה ונשום' את המדיניות והבקרות שלך. הם יהפכו את הארגון שלך לאבטח יותר ויעזרו לך לישון קצת יותר קל בלילה!"

ISO 27701 מפת דרכים - הורד עכשיו

יצרנו מפת דרכים מעשית בת עמוד אחד, המחולקת לחמישה תחומי מיקוד מרכזיים, להתקרבות והשגת ISO 27701 בעסק שלך. הורד את קובץ ה-PDF היום כדי לקבל התחלה פשוטה במסע שלך לפרטיות נתונים יעילה יותר.

הורד עכשיו את

פתח את יתרון התאימות שלך

השגת הסמכה מחדש ל-ISO 27001 ו-ISO 27001 הייתה הישג משמעותי עבורנו ב-ISMS.online, והשתמשנו בפלטפורמה שלנו כדי לעשות זאת במהירות, ביעילות וללא אי-התאמות.

ISMS.online מספק התחלה של 81%, שיטת התוצאות המובטחות, קטלוג תיעוד שניתן לאמץ, להתאים או להוסיף אליו, ותמיכה תמידית של המאמן הוירטואלי שלנו. ודא בקלות שהארגון שלך מאבטח באופן פעיל את פרטיות המידע והנתונים שלך, משפר ללא הרף את הגישה שלו לאבטחה ועומד בתקנים כמו ISO 27001 ו-ISO 27701.

גלה את היתרונות ממקור ראשון - בקש שיחה עם אחד המומחים שלנו עוד היום.

מְחַבֵּר

כריסטי ריי

כריסטי היא מומחית לשיווק תוכן ב-ISMS.online. עם ניסיון של למעלה משבע שנים, היא שואפת לכתוב תוכן אינפורמטיבי ומרתק ועבדה במגוון תעשיות כולל אבטחת סייבר, תוכנה כשירות, טכנולוגיה ותרופות.

הצג את כל הפוסטים מאת כריסטי ריי