ISMS.online מאמינה שניתן להשיג את ISO 27001 במחיר סביר, במיוחד כאשר משתמשים בכלים ובתכונות שיש לפלטפורמה כמו ISMS.online להציע. כאשר לוקחים בחשבון את תקציב ההסמכה של הארגון שלך, עליך לשקול את עלויות היישום, כמו גם את עלויות ההסמכה.
תוכל לקבל מידע נוסף על עלויות הסמכה לתקן ISO 27001 כאן.
כן, אם נרשמת ל- ISO 27001 פתרון אז הפלטפורמה שלך מגיעה מוגדרת מראש ומוכנה כדי שתוכל לעקוב בקלות אחר הדרישות והבקרות נספח A. זה חוסך לך זמן ומאמץ בהשוואה להגדרת מבני תיקיות מסובכים משלך, הרשאות ובקרות גרסאות, שאנחנו יודעים מהניסיון שלנו לא עובד טוב בפועל.
זה גם אומר שכל מי שיש לו גישה ל ה-ISMS המקוון שלך, כולל (לדוגמה) מבקרים, יכולים לזהות בקלות את המבנה והמספור של התקן ולצבור ביטחון שסביר יותר שהדרך שבה אתה עובד תהיה תואמת.
וכמובן, אם אתה חדש או משפר את הגישה שלך ISO 27001: 2013 אנו גם מספקים קבוצה של תיעוד בר-פעולה (דברים שבהם אתה יכול להשתמש בפועל, בניגוד למסמכים בסיסיים בתבנית הזמינים בערכות כלים מהמדף) שנותנים לך התחלה של עד 77%. עם זה, תקבל הדרכה נהדרת כיצד לאמץ, להתאים ולהוסיף לתיעוד זה כדי לעמוד ביעדים העסקיים שלך.
אנו גם מגדירים מראש את כל שאר רכיבי ה-ISMS שאתה צריך להצלחה; אלו כוללים רישומי סיכונים, מפת בעלי עניין, מלאי נכסים, ניהול אירועים וכלים לפעולות מתקנות, ניהול שרשרת אספקה, ביקורת וביקורות ניהול ISMS. לבסוף, אתה יכול לעקוב אחרינו תוכנית מאמנים וירטואליים ולהאיץ את הדרך שלך להצלחה במהירות, תוך התמקדות במה שאתה צריך לעשות, מבלי לדאוג לבזבז זמן על איך לעשות זאת.
אם אתה שואף לקבל הסמכה עצמאית למשל על ידי UKAS, תצטרך להציג את הרישיון להפעלה לפי ISO 27001. אם אתה רק שואף לעמוד בדרישות, לא לקבל אישור עצמאי, אז אינך צריך להראות את הרישיון הזה לאף אחד. אנחנו עדיין ממליצים לכולם לקנות לפחות רישיון משתמש בודד (זה עולה כ-100 פאונד) כדי להבטיח שהם פועלים באופן תואם.
עבור ארגונים שחדשים ב-ISO 27001, אנו מציעים גם לרכוש את ההנחיות ISO 27002:2013 (גם כ-100 פאונד), מכיוון שהיא משלימה את תוכנית האימון הוירטואלי שלנו.
יש לרכוש מסמכים אלו דרך חנות ה-ISO הרשמית, שם תקבלו גרסת רישיון עם סימן מים להורדה לשימוש הארגון שלכם:
אם רכשת את התקנים, ניתן להוכיח זאת ב-ISMS.online על ידי העלאת מסמכים או הוספת היפר-קישור לתקן. זה יאפשר לך להציג מהיכן שאבת את התובנה הזו אם תישאל על ידי מבקר חיצוני.
לסיכום, התיעוד והכלים, המסגרות והשיטות המשלימות שלנו נותנים לך התקדמות של עד 77%, כך שתוכל לאמץ, להתאים ולהוסיף במהירות לפתרון.
בניגוד לערכות כלים אחרות לתיעוד שאתה עשוי לראות באינטרנט, החבילה שלנו שונה באופן הבא:
ניתן לפעולה: במידת הצורך, אנו חורגים מתיאורים כלליים של מדיניות ובקרות ומספקים לך גם את היכולת להדגים את עבודתך בפועל. לכל כלי, מסגרת ותכונה בפלטפורמה משלימים מדיניות ונוהל פרגמטיים. לחיות ולנשום את התיעוד הוא החלק החשוב ביותר, ולכן הוא צריך להיות פשוט, בר-פעולה ומנוהל בקלות. ללא מערכת טכנולוגית קלה לשימוש סביבו, סביר להניח שתתקעו עם חבורה של קבצים שהם סיוט לשימוש, לארגן ולשלוט בהם!
כתובות דרישות ניהול: ערכות כלים אחרות למסמכים מתמקדות בדרך כלל בבקרות נספח A. בהינתן שאנו נוקטים בגישה מובילה עסקית אבטחת מידע, יש לנו התמקדות גדולה בסיוע לך לעמוד בדרישות הניהול. ISMS.online מגיע עם כל המדיניות, ההנחיות והכלים הדרושים כדי לאפשר לך להשלים את זה במהירות בביטחון ולנהל את העסק כמו שאתה רוצה.
עד 77%, לא 100%: הרבה מ ה-ISMS שלך יכול לשאוב מפרקטיקות וחוויות מוכחות של אחרים, אך חלקים מסוימים יהיו ייחודיים לארגון שלך ולדרכי העבודה הרצויות שלו. ספקי תיעוד אחרים עשויים לטעון שאתה מקבל את כל מה שאתה צריך, אבל במציאות אתה לא, ותצטרך לשנות חלקים כדי שזה יעבוד בשבילך. ייתכן שגם חלק ניכר מ-23% הנותרים מכוסים בשיטות העבודה הקיימות שלך (למשל מדיניות סיסמאות), ותמצא שזה מקרה של תיעוד פשוט ב-ISMS.online!
אנו מציעים גם הדרכה בתוך ISMS.online עבור כל דרישות הניהול ותחומי נספח A. על ידי ביצוע זה, ו-ISO 27002 יחד עם משאבי המאמן הוירטואלי, יהיה לך כל מה שאתה צריך כדי להגיע ל-100% במהירות.
אתה תראה שכל פערים מתמקדים בהיבטים הטכניים יותר של ISO 27001 שיהיו ייחודיים לעסק שלך. ניתן לאמץ רבות מהמדיניות שלנו ישירות מהקופסה. סביר יותר שהם יהיו אלה סביב האופן שבו אתה מנהל את ה-ISMS שלך באמצעות התכונות והכלים של הפלטפורמה. ייתכן שתרגיש שחלק מהמדיניות זקוקה ל'שינוי' כדי לשקף את הסגנון הארגוני שלך, וכמובן שאתה יכול לבחור להתאים אותן כדי לעמוד בגישה שלך.
גלה עוד בקצרה שלנו וידאו
בדוגמה זו של נספח A 18.2.2, תראה שאנו מספקים כמה טיפים שתוכל למחוק לאחר שהבנת אותם. אתה יכול גם לראות את השימוש בהיפר-קישורים שהם מאפיין נפוץ בכל הפלטפורמה ומשקפים את הגישה ההוליסטית שלנו ל-ISMS. זה הופך את עבודת המבקר להרבה יותר קלה מכיוון שהם יכולים לנווט לאזורים רלוונטיים בתוך ה-ISMS שלך ויכולים לגשת בבירור לכל ה-ISMS במקום מאובטח אחד.
בדוגמה זו, אתה יכול גם לראות את הסמל הכחול הקטן בצד שמאל המציין את המאמן הוירטואלי... עד כדי כך פשוט לגשת לעזרה של מומחים כשאתה הכי זקוק לה!
היכן כדאי להתחיל עם היישום שלך היא אחת השאלות הנפוצות ביותר שאנו נשאל על ידי אלה שיוצאים למסע ISO 27001 שלהם. השאלה הזו היא הסיבה שפיתחנו את שלנו מאמן וירטואלי 27001 ISO תוכנית ו שיטת תוצאות מובטחות (ARM).
כלול במאמן הוירטואלי פרויקט הכנה מצוין ל-ISO 27001 שיעניק לך רמה של הבנה והקשר לפני תחילת ההטמעה שלך, שבו כמובן יש הדרכה נוספת של מומחים לכל אחת מדרישות ISO 27001 ובקרות נספח A.
מאמן וירטואלי משתמש בשיטת התוצאות המובטחות שלנו, הדרך המוכחת שלנו להצלחה עבור פעילות ההטמעה שלך ב-ISO 27001. ARM מספקת גישה פרגמטית מבוססת סיכונים ליישום ה-ISMS הראשון שלך. השיטה המנוסה והבדוקה שלנו לוקחת את ההיבטים הטובים ביותר מהשיטות הנפוצות להצלחה מהירה ויעילה של ISO 27001.
כן. אם כבר יש לך מערכות אחרות וכלים מומחים, למשל למעקב אחר כרטיסים, ואתה רוצה להשתמש באלו במקום באלה המשולבות שלנו, זה קל לעשות.
כל שעליך לעשות הוא להתאים כל אחד מהמדיניות שכתבנו מתוך מחשבה על הכלים שלנו (אם עדיין אין לך משלך) ולאחר מכן קישור לכלי שלך במקום שלנו. למרות שאנו מציעים פתרון 'הכל במקום אחד', אנו גם מכירים בכך שקיימים יישומים אחרים כך שתוכל לאמץ כמה או מעט מ-ISMS.online כפי שאתה צריך להצלחה.
התשובה הקצרה היא כן, ואנחנו יכולים לעזור לך להעלות כמויות גדולות של סיכונים ולמפות אותם לכלי שלנו אם תצטרך לעשות זאת. כלי הסיכון כל כך קל לשימוש שלוקח שניות להוסיף לו. אולי תרצה לנצל את ההזדמנות לסקור את הסיכונים הקיימים שלך ולרענן אותם ב-ISMS.online.
יש גם בנק מקיף של סיכונים נפוצים שאתה יכול לשאוב ממנו עם קישורים מוצעים לבקרות נספח A. זה יכול לחסוך לך שבועות של עבודה כשאתה מתחיל!
עם זאת, אם יש לך מספר גדול של סיכונים, אנא צור קשר כדי לראות אם נוכל לכתוב תוכנית ייבוא.
זה תלוי! כל מי שמציע שזה עלול לקחת רק כמה ימים להשיג ISO 27001 מנקודת התחלה אפס כנראה מטעה אותך, אבל עם מחויבות המשאבים הנכונים והפתרון המקוון, זה יכול להיות שבועות ולא חודשים או שנים. אם הזמן הוא המהות, אז אנחנו תמיד יכולים לעזור לך להאיץ את זה. על ידי שימוש בפלטפורמה, אתה יכול להוכיח מיד לבעלי העניין שלך שאתה בדרך להצלחה - הרבה יותר יעיל מאשר באמצעות כל דבר אחר.
השורה התחתונה היא ש-ISMS.online עוזר לך להגיע למטרה הרבה יותר מהר ובעלות נמוכה יותר, עם פחות משאבי מומחים משיטות אחרות.
אם אתם מחפשים ציות לבד, אז אולי תרצו להימנע מחלק מההשקעות, למשל הביקורות החיצוניות ולראות את עצמכם עומדים בדרישות הרבה יותר מהר. עם זאת, אם הנהג שלך להשגת ISO 27001 הוא חיצוני, למשל כדי לעמוד בדרישת הלקוח או חלק מהבטחת GDPR, סביר יותר שתזדקק להסמכה עצמאית כדי שאותם בעלי עניין חיצוניים יוכלו לסמוך עליו!
קיום ISMS משולב מקוון הופך את הכל למהיר וקל יותר להשגה, אבל אם הארגון לא מתייחס לזה כעדיפות, צפו שהוא יסחף. אנו מכירים בכך שקיימים גם סדרי עדיפויות אחרים, אז עשינו את הפעולות הבאות כדי שהיישום שלך יהיה חלק ומהיר ככל האפשר:
כהערה אחרונה, עולה בראש גם האמרה 'נשואים בחיפזון חוזרים בתשובה בשעות הפנאי'. ההשקעה המשמעותית ביותר שלך ב-ISMS תהיה בניהול השוטף והקיימות שלו, במיוחד אם המטרה שלך היא הסמכה עצמאית וארגון מהימן ובטוח יותר. אתה צריך פלטפורמה מקוונת שמפחיתה את עלויות הניהול השוטפות ועושה את המשימות הכבדות על תובנות, דיווח, תזכורות ושירותי ערך מוסף אחרים, כדי שתוכל לקבל החלטות טובות יותר ולהגביל את הניהול הבזבזני.
את העתיד שיטת תוצאות מובטחות (ARM) עוזר לך להשיג הצלחה בתקן ISO 27001 במהירות וביעילות. ARM משתמשת בגישה מבוססת סיכונים כך שתוכל ליישם באופן פרגמטי את ה-ISMS שלך ולהשיג הסמכה במסגרת זמן המתאימה לך. קרא שלנו תיאורי מקרה של לקוחות כדי לראות כיצד עזרנו לארגונים בדיוק כמוך להשיג את המטרות שלהם במהירות.
אנחנו לא מציעים הסמכה. אם הסמכה היא המטרה שלך, אנו ממליצים לך להשיג הסמכה עצמאית כדי שהלקוחות שלך ובעלי עניין אחרים יוכלו לסמוך עליה. אם אתה מבוסס בבריטניה אתה יכול למצוא רשימה של ארגונים מוסמכים ב-UKAS אשר מסוגלים לספק הסמכה עצמאית.
גופי הסמכה מקבילים קיימים בעולם והאתרים שלהם יציעו גם רשימה של מבקרים מוסמכים. לדוגמה, בארה"ב זה כן ANSI-ASQ National Accreditation Board (ANAB).
אנו מציעים לך לדבר עם 2 או 3 ארגונים ברשימה, כדי לראות כמה ניסיון יש להם במגזר שלך, בגודל הארגון שלך והיכן הם מבוססים (מה שישפיע על דברים כמו הוצאות עבור ביקורת באתר). חשוב לבחור מבקר חיצוני שיתאים לפרופיל שלך אחרת אתה עלול לגלות שהם יקרים מדי ולא אמפתיים למיוחדים במגזר או בגודל שלך.
שימו לב - ישנן חברות לא מוסמכות שיספקו לארגונים 'תעודה', בדרך כלל לאחר שמכרו להם אוסף של פוליסות או עבודת ייעוץ תחילה! לא היית מצפה שמישהו יוכל לסמן את שיעורי הבית שלו ושאחרים יוכלו לסמוך עליהם, אז נא להימנע מתעודות מסוג זה.
הם באמת לא שווים את הנייר שעליו הם כתובים וקונים חכמים יותר (אולי הלקוחות שלך) לא יקבלו שום דבר מלבד הסמכה עצמאית, כלומר יתכן שיהיה לך בזבוז זמן ועלות.
ייתכן שאתה מחפש הסמכה של ה-ISMS שלך לתקן ISO 27001. ישנם ארגונים רבים המציעים שירות הסמכה.
אבל לא כל גופי ההסמכה נוצרו שווים!
זה אפשרי עבור כל ארגון לא מוסמך שיש לו ידע בניהול אבטחת מידע לבקר את ISO 27001 שלך ולהעניק לך תעודה.
עם זאת, זה לא יספק קונים מנוסים יותר, במיוחד אם אתה עוסק בעסקים עם ממשלת בריטניה. הם יחפשו הסמכה מוסמכת. בבריטניה, גוף ההסמכה המוכר היחיד הוא United Kingdom Accreditation Service (UKAS). בארה"ב זה ANSI-ASQ National Accreditation Board (ANAB).
אם חשובה לך להציע את הביטחון שניתן לסמוך עליך באבטחת מידע, ודא שגוף ההסמכה שתבחר הוא מוסמך. רשימות של גופי הסמכה מוסמכים זמינות באתרי UKAS ו-ANAB כאמור לעיל.
אנחנו בהחלט מוציאים כמות עצומה מעבודת הרגליים מהטמעת ISO 27001, ומעניקים לך שיטה שלב אחר שלב לביצוע ורבות מהדרישות, המדיניות והבקרות שניתן לאמץ, להתאים או להוסיף בקלות. אנו גם חוסכים לך כמות עצומה של זמן לעומת בניית ISMS משלך ומבטיחים שתהיה לך דרך פרגמטית פשוטה לנהל את ה-ISMS שלך באופן שוטף.
אתה אפילו יכול לבחור בתוכנית האימון הוירטואלי האפקטיבי שלנו, המספקת הדרכה מומחים ליישום, ומבטלת או מפחיתה את הצורך בשירותי ייעוץ יקרים. ובמידת הצורך אנחנו והשותפים שלנו יכולים גם לספק את הייעוץ והתמיכה במשלוח (פחות יקר כמובן, לא מעט כי אתה צריך הרבה פחות מזה!).
תשלום מס שפתיים לאבטחת מידע אינו אופציה להשגת ISMS מוסמך, ולכן ההנהגה שלך תצטרך 'להפגין' מחויבות ההנהלה אליו (שאנחנו גם מקלים בהרבה עם כלי שיתוף הפעולה המקוונים של ISMS.). היא תצטרך גם לספק גישה למשאבים רלוונטיים בחברה כדי להבטיח שהמדיניות והבקרות שלך משקפות את התרבות הרלוונטית ואת תיאבון הסיכון.
אם לארגון שלך אין את היכולת או הרצון לנהל באופן פעיל את ה-ISMS שלך, השימוש בקצין אבטחת מידע וירטואלי (VCISO) הוא פשוט עם ISMS.online. פשוט 'חבר' אותם ל-ISMS שלך והשאר יכול להיעשות מרחוק או לפחות עם פעילות נדירה מאוד באתר. מספרים הולכים וגדלים של השותפים שלנו מפתחים שירותי VCISO דרך ISMS.online, אז צור קשר אם תרצה ללמוד עוד על כך.
אולי שאלה טובה יותר היא, 'האם אני צריך ייעוץ ISO 27001'? בניגוד לשירותי ISMS אחרים בשוק, אינך צריך לשלם עבור כל ייעוץ אם אינך זקוק לו. אתה רוצה להבטיח שיש לך את הביטחון, היכולת והיכולת ליישם בהצלחה את ה-ISMS שלך, ונוכל לעזור עם כל אלה לאורך כל החיים אם אתה צריך את זה, ללא יועץ באופק!
בצחוק בצד, אנו רואים 3 תחומים שבהם עשויה להידרש עזרה בייעוץ:
כמובן שזה יתרון, אבל זה לא הכרחי. אנו מציעים לך לשקול מחדש את המאמץ וההוצאות של א קורס מיישמים מובילים ISO 27001. ישנה גישה חלופית שתגביר את הביטחון והיכולת שלך להשיג את הסמכת ISO 27001:2103/17 שלך מטרות מהר יותר, ובחלק קטן מהעלות של חלופות.
אנחנו קוראים לזה ה מאמן וירטואלי.
מאמן וירטואלי הורכב כדי לעזור לך לעבוד בקצב שאתה רוצה להתקדם בהטמעת ISO 27001 שלך. זה תמיד זמין באינטרנט, 24/7, ישירות בתוך ISMS.online. בדיוק שם מתי והיכן שאתה צריך את זה במהלך פעילות המשלוח שלך, בין אם אתה עובד לבד או בצוות.
אם אתה מעוניין במה שיש למאמן הוירטואלי להציע, הזמינו איתנו צ'אט.
כישלון הוא מילה גדולה, ולמרות שיש חברות שם בחוץ שימכרו בפחד מכישלון, אנו רואים בתקווה דרך טובה יותר - והאמרה הישנה הזו של 'לא מתכונן' מצלצלת בקול רם עבור ה-ISMS שלך. אם יש לך בעיה מערכתית (למשל מס שפתיים מלא למדיניות ה-ISMS שלך תקוע על מדף איפשהו) אז סביר יותר לכישלון בביקורת, אבל יש רמות של כישלון, וחלקם יכשלו לחלוטין!
ישנם סוגים שונים של ביקורת ורמות חומרה שונות בתוך הביקורות שעלולות להוביל לכישלון מסוגים שונים. בואו רק נפרק אותם קצת כדי להבין מה יכול להיות "כישלון":
ביקורות פנימיות: מצופה ממך לבצע ביקורות פנימיות לאורך מחזור החיים של ה-ISMS שלך כדי להוכיח שהוא עומד בדרישות ומקיים את הבטחתו. ISO 27001: 9.2 מכסה את זה. אם אתה זקוק לביקורת חיצונית לצורך הסמכה בלתי תלויה, אי ביצוע הביקורות יוביל ככל הנראה לכשל משמעותי באי התאמה - אז בבקשה בצע את הביקורות הפנימיות שלך!
כפי שכתוב על הפח, הביקורות הללו הן פנימיות, בדרך כלל מבוצעות על ידי המשאב שלך. אז יש לך גם הזדמנות לרמות ולא 'להכשל' אותם אם אתה רוצה, אבל לבגוד זה לא רעיון טוב! המטרה היא להתייחס גם לתרגילים האלה כהזדמנויות למידה, כמו גם לחגוג הצלחה עבור דברים שעובדים היטב.
מבקרים חיצוניים ירצו לראות גם את תוצאות הביקורות הפנימיות שלך ואולי להתעמק בכמה דוגמאות. הם יריחו במהירות עכברוש ויחפרו עמוק יותר אם לא דווח על בעיות בכלל. אתה יכול לעקוב אחר שפת המבקרים החיצוניים בממצאים שלך ולדבר על אי התאמות קלות/גדולות, פעולות מתקנות, תצפיות ושיפורים רחבים יותר.
אם אתה משתמש ב-ISMS.online, תוכל לעקוב אחר מדיניות הביקורת הפנימית הפרגמטית שלנו, להשתמש באזור הביקורת כדי להראות את פעולתך ולקשר זאת בקלות לפעולות המתקנות והשיפורים. עקוב אחר אם אתה צריך לבצע פעולה משמעותית יותר לאחר- בְּדִיקָה.
ביקורות חיצוניות: אלא אם כן נתת את הזכות לביקורת ללקוח, נניח שהביקורת החיצונית שלך היא עבור הסמכה עצמאית של ISO 27001. הביקורת החיצונית עוקבת אחר מחזור חיים וכוללת:
בכל שלב, מבקר יכול 'להכשיל' אותך במסע הזה, אבל רק לעתים נדירות מדובר בכשל פשוט, אלא אם כן חסר לך משהו מהותי ב-ISMS שלך או שה-ISMS שלך לא נוהל היטב במהלך חייו. עזרנו למתן את שני הגורמים הללו על ידי תכנון סביבת ISMS.online כדי לעזור לך להתמקד בדברים החשובים ולהראות בבירור את ההתקדמות שלך.
ביקורת שלב 1 בוחנת יותר את סקירת שולחן העבודה של ה-ISMS שלך, ושואלת כמה מהשאלות הבסיסיות לגבי המטרות ובודקות שיש לך את הכוונה הנכונה, ההיקף, מחויבות המנהיגות וכו'. הם ירצו להיות בטוחים שה-ISMS שלך הושלם מבחינת הדרישות המתארות, היעדים, הסיכונים, נכסי המידע, המדיניות והבקרות, הצהרת תחולה וכו'.
הם ירצו לראות שהפעילות בשלבים המוקדמים שלך סביב ה-ISMS עובדת, למשל נערכים ביקורות של ההנהלה, הצוות המנהל את ה-ISMS מאומן ומוכשר. המשוב מגיע בצורה של דוח עם רמות של 'כשל' בשפת אי-התאמות, הזדמנויות מינוריות, גדולות וכלליות יותר לשיפור. ייתכן שתקבל חשבון נקי, או תתבקש לבצע כמה שינויים לפני שתתקדם. זה יכול להיות מפחיד כמו לגשת למבחן הנהיגה שלך, אבל זכור שאתה נמצא במקום מצוין כדי להוכיח שאתה שולט ב-ISMS שלך. בהנחה שתעבור את זה אז תעבור לביקורת שלב 2.
ביקורת שלב 2 היא המקום שבו המבקר החיצוני בודק ובוחן את ה-ISMS שלך בפועל. ביקורת זו כוללת דגימה של הביקורות שלך, סקירות ותקריות, ביצוע ראיונות ותצפיות עם צוות בהיקף, בדיקות תהליכים כדי לראות שהם מדגימים את מה שתואר במדיניות ה-ISMS ובבקרות. מסיבה זו, זה כל כך חיוני שיש לך מדיניות ובקרות ניתנות לפעולה, שנועדו לעבוד כמו שאתה רוצה, בצורה מאובטחת.
אם ה-ISMS שלך מכיל חוסר עקביות בתיאור המדיניות ובהפגנת פרקטיקה, תראה שהאי-התאמות הללו מופיעות. חומרת אי ההתאמה ומספרן בסך הכל היא זו שתוביל לכך שמבקר ייתן לך אישור וזמן לשיפור חלקים מסוימים לקראת ביקורת המעקב הבאה, או יחליט לא להוציא אישור כלל, כלומר כשל.
ביקורות מעקב דומות יותר לביקורות שלב 2 ויהיו להן תחומי מיקוד שבהם מבקרים מתבקשים להסתכל יותר לעומק, למשל סביב שרשרת האספקה, עניינים הקשורים ל-GDPR וכו'. ואז המחזור חוזר שוב עם ביקורת הסמכה מעמיקה יותר ב- השנה ה-3. כל זה לא אמור להיות מפתיע או קשה להשגת תוצאות מוצלחות אם אתה עוקב אחר נוהלי הניהול ב-ISMS.online ופיתחת את מדיניות ה-ISMS והבקרות שלך מתוך מחשבה על התרבות שלך וצרכי משתמשי הקצה.
כל האמור לעיל ועוד מכוסה בתוכנית המאמן הוירטואלי שלנו. אם אתה זקוק לעזרה נוספת בכל שלב של היישום שלך, אנו זמינים עם חבילות תמיכה פשוטות וגמישות שיתאימו לדרישה.
ISO 27001:2013 9.3 מתאר בבירור מה נכנס לסקירת הנהלה, אבל עדיין אנשים רבים שוכחים לכסות את הדברים האלה או להציג את הרשומות שלהם מספיק טוב. מניסיוננו, מדובר בשני דברים נכון:
מבחינת התוכן המכוסה בסקירה, ISO 27001 9.3 אומר שסקירת ההנהלה תכלול התייחסות לשישה אלמנטים כדלקמן:
התפוקות של סקירת ההנהלה יכללו החלטות הקשורות להזדמנויות שיפור מתמיד וכל צורך בשינויים במערכת ניהול אבטחת המידע.
כאשר ISO אומר 'יהיה' זה בדרך כלל אומר 'חייב' וכאשר הוא אומר 'התחשבות, זה אומר שאתה חייב להראות את העבודה שלך על ששת האלמנטים האלה ולשמור ראיות כמידע מתועד.
תדירות ביקורות ההנהלה חשובה גם כן. תכופים מדי וזה יקר להפעלה אם אתה צריך לרכז את כל המעורבים לפגישות והפקת דוחות וכו'. בעוד שזה נדיר מדי ואתה כנראה מאבד שליטה על ה-ISMS שלך. אתה תסבול אם יש לך נכסים בסיכון גבוה יותר, או בסופו של דבר עם תקורה תחזוקה משמעותית יותר מאשר חלופה 'מעט ולעתים קרובות' תספק.
אין דרישה לתדירות המקסימלית, אך התדירות המינימלית לסקירת ניהול ISMS רשמית היא שנתית.
אם אתה מפעיל ISMS מקוון עם כל התחומים האלה מכוסים כחלק מהמערכת המשולבת שלך, התהליך בפועל של ביצוע סקירת הניהול הופך להיות קל מדי.
ל-ISMS.online יש גם סביבות עבודה מוגדרות מראש שבהן מעודדים אותך לעקוב אחר סדר היום של סקירת ההנהלה המתיישרת עם ISO 27001:2013 9.3, ותוכל לקשר במהירות לראיות מאזורי היוזמה, ולחסוך זמן ניכר בייצור של דיווחים.
אחד הדברים האחרים שעובדים היטב עם ISMS.online הוא העבודה שנעשית לקראת סקירות ההנהלה, דיונים מקוונים, מטלות, מסמכים חיצוניים המועלים כדי לסייע להחלטות, ולוח זמנים עתידי של ביקורות. כל הפעולות וההחלטות ניתנות לציון בקלות - אין צורך בדיווחים מייגעים ובדקות לעקוב אחרי שבועות; הכל קורה בזמן אמת. המבקרים אוהבים לראות את רמת המעורבות הזו ולוקחים ביטחון רב מהתהליך ומהתוכן המוכיחים שה-ISMS שלך עובד.
ISO 27001 היא מערכת ניהול לארגונים בכל סדר גודל, מאדם אחד ועד. לכן הוא אינו מכתיב את ה'תפקידים' הספציפיים הנדרשים למרות שיש תחומי אחריות לניהול אבטחת מידע שצריך להקצות. ארגונים רבים משלבים את האחריות הללו בתפקידים קיימים, ואחרים עשויים להחליט שזה ראוי לתשומת לב ספציפית בעצמם. גם יוזמות אחרות כמו GDPR יכולות להילקח בחשבון מכיוון שיש הרבה חפיפות. תפקידים ואחריות לובשים שתי צורות במהלך מחזור החיים:
תרצה להבטיח שיש לך את הביטחון, היכולת והיכולת ליישם בהצלחה את ה-ISMS שלך, ואנחנו יכולים לעזור עם כל אלה גם לאורך כל החיים אם אתה צריך את זה:
בעיות אמון: עקוב אחר גישת ה-ARM שלנו תוך שימוש בהדרכה מתוכנית המאמן הוירטואלי והטמיע את ISMS.online באופן שאנו מציעים ותראה שהביטחון גדל מהר מאוד.
בעיות יכולת: מאמן וירטואלי, והחומרים בתוך ISMS.online, יפחיתו כמות גדולה של בעיות היכולת. אם אתה זקוק לעזרה נוספת, קבל אותה באופן חריג מאחד מהשותפים שלנו או מאיתנו.
בעיות קיבולת: עשינו כל שביכולתנו כדי לעזור לך לחסוך זמן ולשמור על השקעות המשאבים שלך לעבודה הקריטית ביותר. עם זאת, אם קיבולת היא עדיין בעיה, או שאתה רוצה להוציא יותר מהטמעה למיקור חוץ, או לקבל תמיכה בניהול שוטף (למשל כ-CISO וירטואלי), השותפים שלנו יכולים לעזור.
הגרסה הנוכחית של ISO 27001 נשארת הגרסה של 2013. זוהי גרסת 27001 שפיתחנו את ISMS.online סביב היום, ואנו נמשיך לעדכן את השירותים כאשר וכאשר ישוחררו שינויים או גרסאות חדשות.
תהיה לך אפשרות להישאר עם הווריאציה הנוכחית או להעביר ככל וכאשר ישוחררו גרסאות חדשות. זה יכול להיות פשוט כמו להתאים מסגרות קיימות אם השינויים הם מינוריים, או לשינויים מהותיים יותר, ננסה להציע עזרה ללקוחות ולצמצם את עלויות השינוי שלך למינימום.
אחרי הכל, נצטרך גם להעביר את ה-ISMS שלנו עם אישור ISO 27001:2013! זכור ש-ISO בקי היטב בפיתוח הסטנדרטים שלו ותקופות ההגירה יכולות להיות 2-3 שנים, כלומר הרבה זמן למשמרת אם אתה צריך קצת יותר זמן לשנות.
פלטפורמת ISMS.online מלאה בתוכן שמסביר את ISO 27001 ומראה לך כיצד לעמוד בדרישות שלו. זה פשוט, קל לשימוש ונוצר על ידי מומחים. לא תזדקק לאימון חיצוני כי אתה תאמן את עצמך בזמן שאתה עובר בו. אז במקום לבזבז את זמנך בתמיהה על הצעדים הבאים שלך, אתה תמשיך במרוץ להצלחה ראשונה ב-ISO 27001. וידאנו שגם הכל יהיה זול בצורה מפתיעה.
לתבניות וערכות כלים של ISMS יש את היתרונות שלהם, אבל הם יכולים גם להיות מבלבלים וקשים לניהול. הפלטפורמה הפשוטה, המאובטחת ובת-הקיימא של ISMS.online נותנת לך הרבה יותר ממה שהם עושים, כולל מעטפת תמיכה מלאה, כלי ניהול מובנים ודרך ברורה כל הדרך להסמכה. אז במקום לבזבז את זמנך בתמיהה על הצעדים הבאים שלך, אתה תמשיך במרוץ להצלחה ראשונה ב-ISO 27001. וידאנו שגם הכל יהיה זול בצורה מפתיעה.
100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה
