ערכת הכלים למסמכים ISO 27001 - האם זה נכס או התחייבות?
אם אתה שוקל א ISO 27001 ערכת כלים למסמכים, קרא את זה קודם. 2011 הייתה שנה שבה קרו לא מעט. חתונה מלכותית, אביב ערבי, איימי ווינהאוס גוססת (יחד עם דמויות בולטות רבות אחרות), וכמה רעידות אדמה איומות ברחבי העולם. הייתה לנו גם רעידת אדמה ראשונה אליאנטיסט גם (באופן יחסי זה היה הלם מגעיל); צורך להשיג ISO 27001. ולהשיג אותו עם עצמאי אישור UKAS כדי לספק את הלקוח החשוב ביותר שלנו. אז הנהנו בראשנו ללקוח והלכנו לברר במה מדובר. הרעידות נמשכו זמן מה לאחר מכן.
באותו שלב (שנים רבות לפני שפיתחנו את ISMS.online) ממש לא היה לנו מושג מהי מערכת ניהול אבטחת מידע (ISMS) ולא ידענו דבר על ISO 27001. הלקוח המעורב אהב את המומחית שלנו. שירות תוכנת ענן מאובטח ואמר לנו שמערכת ניהול אבטחת המידע ISO 27001 התקן הפך הכרחי מכיוון שהם ראו בפלטפורמה שלנו חיונית לשיתוף מידע רגיש יותר מבעבר.
עשינו מה שרוב האנשים עושים כשהם צריכים לחקור משהו; לחפש באינטרנט. היינו צריכים גם לקוות שיש זכייה מהירה ביישום ISO 27001 במחיר שנוכל להרשות לעצמנו מכיוון שהעלות לא נכללה בהסכם שנחתם עם הלקוח, והיינו צריכים לעשות זאת די מהר. אחרי הכל, מי מתקצב מערכת לניהול אבטחת מידע כשהוא לא מבין במה מדובר?
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
האם חיפושים אחר הטמעה מהירה של ISO 27001 ותיעוד חינם של ISO 27001 הם אוקסימורוניים?
חיפושים מוקדמים הביאו אותנו להבין שחשוב להחזיק תיעוד ISO 27001. זה הוביל לחיפושים אחר תבניות תיעוד חינמיות של ISO 27001, כלים בחינם של ISO 27001 וערכות כלים למסמכים ISO 27001 יחד עם ערכות כלים להגנה על נתונים. ובדקנו גם את הדברים בתשלום, כפי שכולנו יודעים, לעתים רחוקות זה חינמי בפועל. ברור שהאינטרנט והנושא הזה הגיעו לדרך תוך 8 שנים וכך גם הרגולציה עם דברים כמו GDPR כלומר, ניהול אבטחת מידע חשוב עוד יותר לכולם עכשיו, לא רק ללקוח המשכיל. קל לצחוק על הנאיביות שלנו עכשיו, אבל כתוצאה מהשיווק וחוסר הידע שלנו התחברנו למשוך הראשוני של ערכות כלים למסמכים ISO 27001 בתור 'התיקון המהיר' כדי לקבל את הסמכת ה-ISO העצמאית שלנו.
אז רכשנו 'ערכת כלים מקיפה' מחברת ניהול אבטחת מידע ידועה וחשבנו שהצלחנו רק בהוצאות של כ-1,000 פאונד. אחר כך קנינו את תקני ISO 27001 ו-ISO 27002 שהיו כ-100 פאונד כל אחד. החלטה אחרונה זו הייתה מרכזית עבורנו מסיבות רבות, לא פחות מהבנת המבנה הסטנדרטי, המספור והרבה יותר ברור מה היו כל הציפיות.
ערכות הכלים התבררו כהיקף גרוע של מסמכי אקסל ו-word בסיסיים עם מנגנוני בקרת גרסאות מיושנים וללא ברור מה היינו אמורים לעשות הלאה. האם נוכל פשוט לצבוט את תבניות ה-ISO 27001 האלה, לזרוק את זה לתוך Google Drive או אתר Sharepoint ולהראות למבקר החיצוני שאנחנו מוכנים לביקורת שלב 1 שלנו? לא בדיוק. בזבזנו הרבה זמן בניסיון להבין את זה. עלות ההזדמנות של תעריף יום הייעוץ שלנו הפכה משמעותית ולא היינו קרובים יותר למטרה של ISMS מוסמך שהלקוח שלנו יכול לסמוך עליו.
בהשתקפות זה מקביל לרכישת מטריה לפתרון סיכון רעידת אדמה; נכס אולי מועיל אבל לא מספיק, והיית יכול להוציא את הכסף הזה בצורה יעילה יותר. אולי זו אפילו אחריות אם היית גם נדקר בעין מהמטריה המחודדת כשלא היית בטוח מה לעשות איתה במהלך רעידת האדמה... ברור שאני דוחף אנלוגיות ומערבב קצת את המטאפורות שלי. הנקודה המילולית היא שתיעוד ISO 27001 כשלעצמו אינו מספיק ומומחי תקני ISO הצהירו בבירור ש'מערכת ניהול' היא הדבר החשוב להשגה.
מה באמת אומר ערכת כלים למסמכים ISO 27001?
האם זה דוחף את הרעיון של 'ערכת כלים' וכלים ISO 27001 רחוק מדי כאשר כל מה שאתה מקבל הוא חבורה של מסמכים וגיליונות אלקטרוניים? אולי, למרות שוויקיפדיה מזכירה גיליונות אלקטרוניים כדוגמה לכלי! ואז יש את 'ערכת הכלים' ו'ארגז הכלים' עצמם, שמשמעותם דברים שונים לאנשים שונים.
תאר לעצמך את זה עבור הכלים וערכת הכלים שלך: נראה מושך אך לא סביר שיעשה את העבודה היטב אלא אם כן אתה בסביבות גיל ארבע.
לעומת זה עבור הכלים וערכת הכלים שלך: מקיף, טוב מסודר ומהיר למצוא את מה שאתה צריך כאשר אתה רוצה את זה ופשוט לשימוש גם על ידי אנשי מקצוע חסרי ניסיון. אבל זה עלול גם לעלות הרבה יותר ולא להיות מה שאתה באמת צריך.
במציאות כאשר אבטחת מידע אתרי מסחר אלקטרוני ו יועצים מדברים על ערכות כלים, מה שהם באמת מתכוונים הוא תיעוד ISO 27001. איכות התוכן בפועל, היקף וההדרכה איתו יכולים להשתנות מ:
- חבילה פשוטה של תבניות מסמכים בפורמט ISO 27001 עם תוכן מוגבל לדוגמה (ואולי עידוד לקנות משאב ייעוץ כדי להפוך אותו לרלוונטי לארגון שלך)
- כמו לעיל עם תבניות גיליון אלקטרוני בסיסיות של אקסל, למשל לשימוש כמאגר סיכונים תפעוליים (לא ממש כלי בספר שלנו, אבל אם הוא מספיק טוב לויקיפדיה)
- כאמור לעיל עם הנחיות קשורות (הערות משלימות)
- כמו לעיל עם סרטונים/הדרכות תומכות
- כמו לעיל עם כמות גדולה יותר של דרישות ISO 27001 ו בקרות נספח א' נוספו תבניות
אף אחד מאלה לא משיג הצלחה של ISO 27001 לבדו וגם לא יוצר מערכת ניהול אבטחת מידע כשלעצמה.
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
האם התיעוד וההנחיות של ISO 27001 'ערכות כלים' מקיפות?
על מנת להשיג תקן ISO 27001 ולקבל הסמכה עצמאית, יש צורך לתאר ולהדגים תיעוד (תוכן) שפועל בפועל עבור כ-140 פעילויות ספציפיות. זה כולל את ההכנה, הפגישה סעיפי דרישות הליבה של ISO 27001 והתייחסות לבקרות נספח A. אז להחזיק את התיעוד זה דבר אחד, להוכיח שהוא רלוונטי לארגון שלך ואתה חי את מערכת הניהול בפועל זה דבר אחר.
לכן חשוב לסייג בקפידה מה בדיוק כלול בערכת כלים לתיעוד. אתה לא רוצה לקבל ארגז כלים חלקי של Bob the Builder עם התאמה איכותית למשתמש בן ארבע, כאשר מה שבאמת רצית היה ערכת הכלים Snap-on המקיפה למבוגרים. באותה מידה, למה לקנות ערכת כלים מקיפה כשכבר יש לך את המקבילות למפתחים ולפטיש. בפועל, מעט מאוד ארגונים מתחילים בפועל את היישום שלהם מאפס. יצרנו גישת יישום ISO 27001 בשם ARM; ה שיטת תוצאות מובטחות. זה עוזר לארגונים להשיג את התקן על ידי בנייה על מה שכבר יש להם והיותם פרגמטיים בגישתם להסמכת ISO 27001.
כמה קל באמת להשתמש בערכות כלים לתיעוד ISO 27001?
זה תלוי באיכות ובהיקף של מה שרכשת, ומה עוד יש לך כדי להפעיל ולנהל גם את מערכת הניהול ISO 27001 שלך. תרצה לאמץ בקלות, להתאים ולהוסיף לתיעוד ולכלים על מנת להפוך אותו לרלוונטי לדרך העבודה הרצויה של הארגון שלך.
עם העוצמה והזמינות של הטכנולוגיה, תרצה שיהיה לך דיגיטלי מערכת ניהול שתסייע בתיאום ובקרה התיעוד שלך, מראה שאתה בודק אותו בקביעות, כמו גם 'חי ונושם' את כל הדרישות והבקרות הרלוונטיות באופן שהתקן מצפה. למרות שישנן דרכים רבות ושונות לעשות זאת, זיהינו את מה שאנו מחשיבים מאפיינים מרכזיים של תוכנת ISMS.
מה אנחנו חושבים על ערכות כלים לתיעוד ISO 27001 מהמדף?
תיעוד ISO 27001 חשוב, וכפי שצוין לעיל, כנראה הדבר הראשון שאנשים מחפשים גם היום כשהם חדשים בתקן. פניות רבות שאנו מקבלים היום עבור ISMS.online מתחילות בהערה "לאחרונה רכשנו ערכת כלים למסמכים אבל עכשיו מבינים שזה לא מה שחשבנו שזה..." למרבה הצער רוב הארגונים האלה, כמונו, כמעט בטוח יבזבזו 500-1500 פאונד ואת זמנם להגיע לתפקיד הזה.
זה באמת חשוב שלא רק תתאר את התוכן, אלא גם תוכיח את זה שיהיה מדיניות ובקרה תיעוד שאתה משתמש בו, זה ניכר בשימוש המבצעי שלו. למשל אם שלך המדיניות אומרת שאתה משתמש באימות דו-גורמי ויש לך מערכות בקרות הרשאות מנהל, ודא שאתה יכול להציג אותן בפועל למבקר.
אתה לא יכול רק לקבל מתודולוגיית ניהול סיכונים במסמך עצמאי, אתה צריך לזהות ולנהל סיכונים באופן קבוע בפועל - אם קשה לעקוב אחר המדיניות הזו בפועל או לא יקרה בגלל שהמדיניות או הכלי מסורבלים, מאמצי ההסמכה שלך ייכשל. לכן ערכות כלים לתיעוד יכולות להיות נכס או התחייבות, תלוי מה אתה קונה, מאיפה אתה משיג אותו ואיך אתה הולך להשתמש בו. אזהרה emptor!
חשבנו זמן רב על איזו רמה והיקף של תיעוד משלים יש לספק עם ISMS.online, עבור אלה שרוצים התחלה. בסופו של דבר הגענו לדעה שאנחנו יכולים, 'יד על הלב', לעזור ארגונים עם התקדמות של עד 77% בכל הדרישות ותיעוד הבקרה שלהם ברגע שהם נכנסים, כשהחומר שלנו כל כך קל לאמץ, להתאים ולהוסיף לו לעומת אחרים. זה מקטין את הזמן המושקע באופן משמעותי וחוסך כמות עצומה של כסף. משוב מלקוחות מצביע על כך שזוהי חבילת החומרים המקיפה ביותר שיש, במיוחד כשהיא משלימה עם שירות המאמן הווירטואלי שלנו ו-ARM שעוזר להאיץ את יישום ISO 27001.
באופן משמעותי יותר, וידאנו שכל התוכן יהווה תיעוד מעשי ומעשי בתוך מערכת הניהול ISMS.online. אחרי הכל אתה צריך מערכת ניהול אבטחת מידע להשגת ISO 27001 וערכת כלים למסמכים פשוט לא מספיקה לא משנה כמה היא טובה. גילינו את זה במחיר הניכר שלנו לפני שנים רבות, וחבל שאחרים עדיין נופלים לתוך הסדקים (בחזרה לרעידת האדמה ההיא;), אבל עם ISMS.online זמין כעת, אתה לא צריך להיות אחד מהם.
