הסמכת ISO 27001, פשוטה

ISO 27001 הסמכה

ההסמכה מוכיחה מחויבות הארגון לשיפור מתמיד, פיתוח והגנה על נכסי מידע/נתונים רגישים על ידי יישום הערכות סיכונים מתאימות, מדיניות ובקרות מתאימות.

ארגון מוסמך ISO 27001 מפרסם לעולם שהוא מהימן, הטמיעו מערכת ניהול אבטחת מידע (ISMS) בהתאם לסעיף 4.4 של התקן והוכיחו תאימות למבקר חיצוני/גוף הסמכת ISO בלתי תלוי, למשל UKAS.

הסמכת ISO 27001 היא מבדלת עסקית ומוכיחה לעסקים אחרים שהם יכולים לסמוך על הארגון שלך לנהל נכסי מידע/נתונים יקרי ערך של צד שלישי וקניין רוחני; זה מטפח שפע של הזדמנויות חדשות תוך הגנה על העסק שלך מפני חשיפה לסיכונים.

תקן ISO 27001 הוא מסגרת העבודה המומלצת המוכרת בעולם עבור ISMS

הכרה בתקן ISO 27001 היא בעלת הערך הגבוה ביותר עבור ארגונים בבריטניה כאשר אתה מקבל הסמכה על ידי גוף הסמכה מוסמך UKAS (United Kingdom Accreditation Service) אשר יבקר באופן עצמאי את הארגון שלך ויספק לך הסמכה ISO 27001.

גופי הסמכה אחרים הדומים ל-UKAS קיימים בעולם, מה שעוזר לשמור על תקן ניהול אבטחת מידע ISO/IEC 27001 בכל מקום בו ארגון שואף להשיג אישור ISO 27001. הסמכת ISO 27001 עוסקת לא רק באילו אמצעים טכניים אתה נוקט. תקן ISO 27001 עוסק בהבטחת הבקרות העסקיות ותהליכי הניהול שיש לך מתאימים ופרופורציונליים לאיומי אבטחת המידע וההזדמנויות שזיהית והערכת בהערכת הסיכונים שלך. וכל זה צריך להיעשות תוך גישה עסקית לתהליך ניהול אבטחת המידע.

הסמכת ISO 27001 לעומת תאימות

ארגונים חדשים במערכות ניהול אבטחת מידע שואלים לעתים קרובות על ההבדל בין הסמכה לתקן ISO 27001 ותאימות, במיוחד כאשר הם פועלים לפי תקנים מוכרים כמו ISO 27001.

במילים פשוטות, תאימות עשויה להיות שהארגון פועל לפי תקן ISO 27001 (או חלקים ממנו). הסמכת ISO 27001 פירושה שמערכת ניהול אבטחת המידע ISO 27001 של הארגון הוסמכה בהתאם לתקן על ידי מבקרים המכונים גופי הסמכה.

למה אתה צריך אישור ISO 27001?

הסמכת ISO 27001 חלה על כל ארגון שרוצה או נדרש למסד ולשפר תהליכים עסקיים סביב אבטחת מידע, פרטיות ואבטחת נכסי המידע שלו.

גודל/מחזור עסק אינו מכתיב את הצורך ב-ISO 27001 של ארגון; אפילו לחברות הקטנות ביותר עשויות להיות לקוחות משפיעים או בעלי עניין אחרים, כגון משקיעים, שמחפשים את ההבטחות המהותיות מהצעות הסמכה של UKAS ISO 27001.

כתוצאה מהסמכת ISO 27001, הארגון שלך יכול להוכיח שאנשיו, התהליכים, הכלים והמערכות שלו עומדים במסגרת מוכרת. תארו לעצמכם עולם של דיווח כספי או בריאות ובטיחות ללא תקנים. אבטחת מידע נמצאת קצת מאחורי התחומים הללו מנקודת מבט של הסמכה וביקורת עצמאית. ובכל זאת, כשקצב השינויים מואץ כמעט בכל דבר, ארגונים חדשניים יותר מתקדמים מבחינה פנימית, במיוחד עם שרשרת האספקה ​​שלהם. אז אתה יכול להסתכל על אישור ISO 27001 דרך שתי עדשות;

אמון בספקים שלך

כלקוח, אתה צריך ביטחון שהספקים שלך מוסמכים לעזור להפחית את הסיכונים העסקיים שלך ולנצל הזדמנויות, למשל מסטנדרטים עקביים יותר, גבוהים יותר ועלויות כוללות נמוכות יותר וסיכון עבודה שאתה נתקל בהם.

בניית אמון בעסק שלך

הלקוחות שלך נעשים חכמים יותר; הם אוהבים שאתה צריך לדעת ששרשרת האספקה ​​מוגנת כראוי. לקוחות משפיעים פשוט דורשים אישור ISO 27001 ומעבירים את תהליך ניהול הסיכונים לאורך שרשרת האספקה. יש גם יתרונות ספין-אוף אחרים, שלא לדבר על כל העסקים הנוספים שתזכה בהסמכה ל-ISO 27001 לעומת מפגרים שלא. לדוגמה, צוות מיודע ירצה לעבוד עבור מותגים מהימנים. ככל שמבטחים מדביקים שיטות עבודה טובות יותר, המשמעות אמורה להיות פרמיות נמוכות יותר עבור ארגונים עם מערכת ניהול מידע ISO 27001 מאושרת באופן עצמאי.

היתרונות של אישור ISO 27001

עבור כל מחזיקי העניין, המסר המרכזי הוא אמון ובטחון שנרכשו מניהול אבטחת מידע מבוקר חיצוני. הסמכת ISO 27001 מציעה יתרונות מרובים - לדוגמה:

הטבות לך

• הגן על IP, מותג ומוניטין
• זכה בעוד עסקים מלקוחות חדשים וקיימים
• להפחית את עלות המכירה
• שמור יותר עסקים
• תהליכים משופרים המובילים לחיסכון בעלויות ובזמן
• הימנע מקנסות עקב אי ציות לתקנות (כגון GDPR)
• הימנע מתביעות אזרחיות הנובעות מהפרת נתונים
• הימנע מעלויות של פעולות תיקון הנובעות מתקריות ו/או הפרות
• למשוך צוות טוב יותר

הטבות לצוות שלך

• אמון בקיימות של הארגון
• הכשרה לעבודה (ואבטחת בית)
• בהירות באמצעות מדיניות ונהלים
• גאווה בארגון ובתפקידם בהגנה עליו

הטבות ללקוחות שלך

• אמון ובטחון בך ובשרשרת האספקה ​​שלך
• פחות סבירות להפרה יקרה
• עלות מופחתת של הצטרפות ספקים

אישור ISO 27001: האם זה שווה את זה?

לא לעשות כלום היא כנראה לא אופציה אם אתה ניגש ומנהל נכסי מידע יקרי ערך בבעלות אחרים. עבור ארגונים מסוימים, כל העסק שלהם בנוי על פיתוח או ניהול נכסי מידע.

אז, במקרה כזה, אובדן חלק או כל העסק הזה או לא לזכות יותר בעתיד פירושו כנראה ששווה להשקיע בהסמכה לתקן ISO 27001, במיוחד אם לקוחות או בעלי עניין אחרים כמו משקיעים רואים סיכון.

השגת הסמכת ISO 27001 אינה מסובכת או יקרה כמו פעם בגלל פתרונות חדשניים כמו ISMS.online. ולמרות רבים מהיתרונות האסטרטגיים והפיננסיים, חלק מהמנהיגים עדיין רואים בכך רכישה 'טינה' ועוד תרגיל סימון בירוקרטי. להשיג הסמכה פירושו בדרך כלל השקעת זמן ועלות; כמו רוב ההשקעות האסטרטגיות, כדאי לקחת בחשבון את התשואה ואת היתרונות הרחבים יותר.

מה כרוך ביישום ISO 27001?

כדי ליישם את ISO 27001 צריך לפתח 'מערכת ניהול', המורכבת מאנשים, תהליכים וטכנולוגיה.

מבחינת האנשים, אתה זקוק למנהיגות שתנחה את היישום כדי לעמוד ביעדים העסקיים, בנורמות התרבותיות, בביקורות קבועות ולהראות שהארגון לוקח את זה ברצינות. מבקרים ירצו לראות את 'רוח ISO 27001' מיושמת כמו גם את המסמכים ברמה הבכירה הזו, כך שדירקטור שמתערב בביקורת ומתיימר להבין את מערכת ניהול אבטחת המידע ISO 27001 הוא גם מתכון לאסון.

תזדקק גם לאנשים שמבינים את העסק שלך עם היכולת, היכולת והביטחון להתמודד עם הדרישות. ההשקעה של 'אנשים' נקבעת על ידי הטכנולוגיה המשמשת להטמעה ותחזוקה של מערכת ניהול אבטחת המידע ISO 27001 (ISMS).

לדוגמה, תצטרך:

• פתרון דיגיטלי או מבוסס נייר לתיאור כיצד אתה עומד בדרישות הליבה של ISO 27001 וכיצד זה מנוהל לאורך זמן (אתה עובר ביקורת לפחות מדי שנה - ראה בהמשך).
• זוהי סביבה דומה לתעד ולנהל את כל בקרות ומדיניות נספח A שפותחו ולאחר מכן להבטיח שהם יהיו זמינים לאנשים שאליהם הם פונים. אתה יכול להוכיח שהם מודעים להם ומעורבים (זכור, אנשים אלה עשויים להיות צוות וספקים). אל תכתוב רק בקרות ומדיניות לשם כך. כולם צריכים להיות מבוססים על הבעיות העומדות בפני הארגון שלך, ציפיות הצדדים המעוניינים שלך, ההיקף והגבולות שלך (למשל מוצרים, מיקומים וכו') ונכסי המידע שאתה רוצה להגן עליהם. אתה צריך 'להראות את העבודה שלך' גם כאן ולתעד את כל זה. זה נהיה קשה לעשות זאת היטב ולתחזק אותו לאורך זמן רק עם מסמכי Word, גיליונות אלקטרוניים ואחסון שיתופי.
• למערכת הניהול שלך יהיו כל הכלים העומדים בבסיס העבודה, מתועדים ובקלות לעקוב אחר המבקר.
  פעילויות אלו כולן זוכות להערכת סיכונים (באמצעות כלי ניהול הסיכונים שלך) כדי לעזור לך לקבוע אילו מיעדי הבקרה של נספח A עליך ליישם, אשר מבלי להיות טכניים מדי בשלב זה, מובילות להצהרת התחולה שלך. האם כבר אמרתי שאתה צריך להדגים את זה למבקר כדי לקבל הסמכה ל-ISO 27001?
• ערכת מסמכים עשויה לעזור אם היא ניתנת לפעולה, כלומר ניתן להשתמש בה באופן מעשי, וקל לאמץ אותה, להתאים אותה ולהוסיף אותה. זה צריך להשתלב גם בפתרון הטכנולוגי הזה.
• אם אתה מסתמך על שרשרת האספקה, אתה צריך להראות כיצד אתה שולט בספקים האלה, ובמיוחד בחוזים שלהם (זו גם דרישה בסיסית של תאימות ל-GDPR!)
• מטרות הבקרה והדרישות מצפות לתיאור הגישה (למשל מדיניות כיצד לטפל באירועי אבטחה) והדגמה שלה (כלומר, עוקב אירועי האבטחה עם כל הפרטים, האירועים והחולשות שלו והראיות הנגישים גם הם בקלות).

לתכנן, לעשות, לבדוק, לפעול

גישות מוכרות להטמעת מערכת כוללות את גישת PDCA (Plan, Do, Check, Act). זו הייתה גישת ניהול איכות סטנדרטית אבל אולי היא קצת פאסה בצורתה המילולית.

גרסת 2013/17 של ISO 27001 אפשרה תהליך זריז ודינמי יותר התומך בהערכה ושיפור מתמשכים של מערכת הניהול, כך שיותר PDCA בזמן אמת וערבוב סדר PDCA גם לגישה זריזה פרגמטית. לארגונים יש בדרך כלל סוג כזה של גישה דינמית עבור מערכות האבטחה התפעוליות שלהם, למשל חומות אש, סורקי רשת וכו'. היא מתאימה יותר לנוף הסיכונים המודרני המשתנה ללא הרף. מערכת ניהול אבטחת מידע מנוהלת היטב תהיה מערכת ISMS זריזה, דינמית ומנוטרת ברציפות הרבה יותר בעתיד.

1. תוכנית ליישום ISO 27001

בעת הוספת הקשר ומבנה נוספים לתוכנית ההטמעה של ISO 27001, על המיישם המוביל לשקול את ההיבטים הבאים:

• היו ברורים לגבי המטרות, הסיבות המשכנעות לפעול וכל המועד שבו תרצו לעמוד - כמו גם ההשלכות אם זה יסחף.
• זהה את ה-ROI של הכותרת כדי שתוכל ליישם את האנשים והמנהיגות הנכונים - זה יעזור גם לפיתוח תקציב, אם זה נדרש.
• אם הצוות חדש ב-ISO 27001, קנה את תקני ISO והנחיות ISO 27002, וקרא אותם - השוואת הסביבה הפנימית הנוכחית שלך למה שנדרש להצלחה (ניתוח פער קל). ייתכן שרבים מהדרישות, התהליכים והבקרות כבר קיימים וצריכים עיבוד פורמלי. יתכן שלא תזדקק להכשרה חיצונית או לתוכניות מיישמת מבקרים מובילים - אלה עלולים להיות בזבזניים ולהשפיע לרעה על האופן שבו אתה רוצה שמערכת ניהול אבטחת המידע שלך תעבוד כ-ISMS מעשי.
• שקול פתרונות וכלים טכנולוגיים מוגדרים מראש כדי להשוות אם זה טוב יותר ממה שכבר יש לך פנימית ושימוש טוב יותר במשאבים היקרים שלך. לחלק מהפתרונות הללו, כמו ISMS.online, כבר יש את כל הכלים הדרושים להם וכוללים תיעוד בר-פעולה שתוכלו לאמץ, להתאים ולהוסיף לו להתחלה מסיבית, ומציעים אימון והדרכה וירטואלית על השגת הסמכה.
• התחל... ופרק את כל העבודה לנתחים בגודל ביס וחגוג את הכוח של ניצחונות קטנים. לראות התקדמות תכופה לקראת 100% שלמות היא מדבקת, אז זכור למצוא פתרון גלוי, שקוף ושיתופי כדי לשתף את ההצלחות הקטנות האלה!

2. התייחסו למרכיבי המפתח של תקן ISO 27001

ISO 27001 יכול להיעשות מלמטה למעלה על ידי נקיטת גישה מונחית מדיניות, פשוט יצירת תיעוד עבור בקרות נספח A. עם זאת, הגישה האסטרטגית והעסקית יותר תואמת באופן נרחב את הדרך בה כתוב והגיוני של ISO 27001. סיכמנו את זה בפשטות כך:

• התבונן בסוגיות העומדות בפני הארגון שלך והבין את הצרכים של בעלי עניין (בעלי עניין); בפרט, זהה את נכסי המידע מוקדם ככל האפשר (אתם תקבלו פרטים נוספים בהמשך).
• הגדר את הגבולות וההיקף של ה-ISMS.
• הגדר את יעדי האבטחה של הארגון שלך מתוך ה-ISMS שלו.
• הצב את היכולת לסקירות יישום קבועות, ביקורות והערכות כדי להראות שאתה בשליטה ותעד (בקצרה) מהיום הראשון של ההטמעה כדי לשתף את המסע הזה עם המבקר ולמען הפקת לקחים.
• זהה את הסיכונים לנכסי מידע אלה וערוך הערכות סיכונים - אם חסרים משאבים, אנו ממליצים לך לתעדף את נכסי המידע בסיכון גבוה יותר ואיומים משמעותיים יותר על ה-CIA בהתבסס על סבירות והשפעה.
• צור תוכנית טיפול בסיכון לכל סיכון. במידת הצורך, בחר ביעדי בקרה ובבקרות נספח א' ליישום וטפל בסיכונים אלה - באופן אידיאלי, קשר את זה כדי שתדע שהנכסים, הסיכונים והבקרות שלך מתאימים זה לזה. אם תשנה או תבדוק חלק אחד, תראה את ההשפעה על החלקים הקשורים.
• הכן את הצהרת התחולה שלך - זה תופס אנשים רבים, אבל זו דרישה חובה ויכול לבזבז הרבה זמן.

זכור לתעד הכל ולהראות שכל המערכת עובדת עם אותה הערכה קבועה.

3. הערך את תקן ה-ISO 27001 שלך בהתאם לתקן ואת נכונותו להשיג הסמכה

חיוני לקיים מדידות וביקורות כדי להבטיח שה-ISMS שלך עומד ביעדים שלו. ISO 27001 כולל דרישות להערכה מתוכננת שתתקיים בצורה של:

• סקירות ההנהלה
• ביקורות פנימיות
• ביקורות חיצוניות - במידת הצורך, זה יכול להיות מגוף הסמכה ISO 27001 או לקוחות, או יועצים

4. שפר את ה-ISMS שלך לפי הצורך וארגן את ביקורת שלב 1 על ידי גוף ההסמכה החיצוני

תהליך השיפור המתמיד הוא המפתח להצלחת ISO 27001 והוא משהו שמבקרים יחפשו לראות ראיות לכך.

איומי אבטחה ופגיעות משתנים במהירות כמו, במקרים רבים, צמיחה או יעדים של ארגונים. עסק חייב להוכיח את מחויבותו לנקוט בפעולות מתקנות ולביצוע שיפורים ב-ISMS שלו. מיושם נכון, ה-ISMS שלך יהווה גורם עסקי במקום להגביל את האופן שבו אתה רוצה לנהל את העסק שלך.

כיצד אוכל לקבל אישור ISO 27001?

לאחר שהטמעת את מערכת ניהול אבטחת המידע שלך וערכת את סקירות ההנהלה הראשונות של ה-ISMS, והתחלת לחיות את הגישה בפועל, אתה תהיה בדרך להסמכה ל-ISO 27001.

זהו תהליך דו-שלבי לקבלת הסמכה עם התקן המוסמך של שירות ההסמכה של בריטניה:

ביקורת שלב 1

במילים פשוטות, מבקר גוף ההסמכה ירצה לראות את התיעוד של מערכת ניהול אבטחת המידע וכי עמדת בדרישות, לפחות בתיאוריה! זה יותר סקירת שולחן העבודה של ה-ISMS עם המבקר בשלב זה, המכסה את תחומי החובה ומבטיחה שרוח התקן מיושמת. גופי הסמכה שחושבים קדימה מתחילים לעשות את אלה מרחוק, מה שמוזיל עלויות ומאיץ את התהליך.

התוצאה מתרגיל זה היא המלצה למוכנות לביקורת שלב 2 (אולי עם תצפיות להערכה מחדש במהלך הביקורת שלב 2) או צורך לטפל בכל אי-התאמות שזוהו לפני התקדמות נוספת.

בהתאם למצב הביקורות הפנימיות שלך, ייתכן שתידרש להשלים ביקורת פנימית מלאה לפני שלב 2. אנו מציעים שתסכים על פרטים ספציפיים עם המבקרים שלך מכיוון שחלקם מחפשים דברים מעט שונים - זה קצת כמו חוקי כדורגל שבהם השופטים מפרשים אותם אחרת . הקפד לשאול אותם! מבקר טוב ירצה שתצליח ויעזור לך להבין מה הוא מצפה לראות עבור ביקורת שלב 2.

ארגונים רבים נכשלים בשלב 1, וזה בגלל קבוצה נפוצה של סיבות שבדרך כלל ניתן לטפל בהן בקלות עם פתרון טוב למערכת ניהול אבטחת מידע (אלא אם ההנהגה שלך לא מעורבת, אז שום דבר לא יעזור עם ה-ISMS!)

ביקורת שלב 2

כאן יתחילו המבקרים לחפש את הראיות לכך שמערכת ניהול אבטחת המידע המתועדת חיה ונושמת בפועל. הצוות שלך יעסוק, יראיין; מבקר ISO 27001 יעריך את ההיקף שלך סביב המיקום הפיזי, המערכות, התהליכים והנהלים. כמו רוב הביקורות, זה יהיה גודל מדגם, ואם אתה יכול להוביל את המבקר עם מערכת משולבת, הם ייקחו מזה ביטחון רב.

התוצאה של תרגיל זה היא מעבר או נכשל. אם תעבור, יש לך את התעודה המוערכת מאוד, נכשלת, ותשאר לך עבודה סביב אי-ההתאמה לפני שתוכל להגיש מחדש לביקורת נוספת או לבדיקה ספציפית של אי-ההתאמה.

כמה עולה הסמכת ISO 27001?

ביקורת הסמכה היא לא עלות הכותרת שאתה צריך לקחת בחשבון. העלות הגבוהה ביותר היא הזמן והמאמץ להשגת הסמכה מהאנשים המעורבים בבניית מערכת ניהול אבטחת המידע שלך ותחזוקת ה-ISMS משנה לשנה לאחר מכן.

יכולות להיות לזה עלויות הזדמנות של אובדן הכנסה ממשאבים בכירים, הסחת דעת של יכולות ליבה לעסק ועלויות גבוהות יותר של ייעוץ אם תביא עזרה מבחוץ ללא נקודת התחלה טכנולוגית חזקה.

עם זאת, עלויות הסמכה עדיין ראויות לשקול והן מבוססות על גודל הארגון, היקפו, התהליכים וכו'. רוב גופי ההסמכה יתנו הצעת מחיר מהירה באינטרנט או מעקב.

יש לקחת בחשבון את עלויות ההסמכה של ISO 27001 במהלך מחזור הסמכה של 3 שנים:

• ביקורת ראשונית וביקורת הסמכה – שלב 1 ו-2
• ביקורת מעקב לשנה 1 ו-2
• ואז המחזור ממשיך שוב, עם הסמכה מחדש כל שלוש שנים.

עמלות הביקורת הן בדרך כלל בסביבות 1,000 פאונד ליום (לא כולל מע"מ), ומספר הימים הדרושים משתנה בהתאם לגודל הארגון והיקף מערכת הניהול. לדוגמה, עסק קטן עם היקף פשוט (למשל מוצר אחד, מעט תהליכים, משרד ראשי אחד וכו') עשוי להזדקק ליום אחד לביקורת שלב 1, יומיים לביקורת שלב 2, ויום נוסף לכל מעקב שנתי.

כדאי גם לחפש גופי ביקורת חדשניים יותר המוכנים לבחון ביקורת מרוחקת בשלב 1. סביר להניח שדבר זה ייחשב רק כאשר מערכת הניהול מוחזקת כולה דיגיטלית, כמו עם ISMS.online. זה אומר שקל יותר להם בתור מבקרים לראות את היישום בעבודה. זה יחסוך בעלויות בהוצאות הנסיעה הבלתי נמנעות ובזמן.

שמירה על הסמכת ISO 27001 שלך

הסמכת ISO 27001 נעשית על פני מחזור של 3 שנים:

• שלב 1 ו-2 לאחר מכן הענקת התעודה
• ביקורת מעקב 1 (בדרך כלל מדי שנה או עשויה להיות תכופה יותר בהתבסס על היקף, סיכון וגודל)
• ביקורת מעקב 2
• שנה שלישית הסמכה מחדש והערכה מפורטת יותר

זה יכול לקחת 4-6 שבועות להזמנה אצל גוף ביקורת, אז זכור את זמן ההובלה הזה, ואנו ממליצים למצוא מבקר הבקיא במגזר ובגודל העסק שלך. אחרת, הם עשויים להיות יקרים יותר או פחות, אבל אם הם לא מבינים את האתגרים של מערכת ניהול אבטחת המידע שלך מנקודת מבט עסקית, זה עשוי להיות תהליך כואב. זכור, המבקר בדרך כלל תמיד צודק (למרות שאתה יכול להדגים ביתר קלות מדוע עשית משהו והסבר את תיאבון הסיכון שלך, בחירת בקרה וכו', אם יש לך מערכת ISMS מנוהלת היטב.)