מיישמת ISO 27001 ולא בטוחה מאיפה להתחיל?
אז מה הם הנתיבים האפשריים ליישום ISO 27001 ISMS שלך?
מסלול פופולרי הוא 'ניתוח פערי ניהול אבטחת מידע', שבו תשקיעו הרבה זמן וכסף במציאת הפערים. אבל אתה עדיין מקבל רק ניתוח פערים (כנראה עם תוצאות קשות לניווט ולניהול גיליון אלקטרוני) ולא שום תנועה קדימה, לביסוס האיזמים. יש דרך טובה יותר.
דרך נפוצה נוספת היא הימנעות מניתוח הפערים ופשוט יציאה למסירה. ארגונים מסוימים מתחילים ביצירת כל ה-93 בקרות נספח א', הצבת מדיניות, תהליכים ונהלים תחילה. עם זאת, זה גם לא אופטימלי ויכול לקחת זמן רב, במיוחד אם לעסק אין סיכונים שבהם בקרות אלו יהיו ישימות. זוהי גישה 'מלמטה למעלה', ותמיד היינו מציעים שהיא תעמוד בדרישות הליבה 'מלמעלה למטה'.
תקן ISO מתחיל להוביל אותך היטב בתהליך מלמעלה למטה, אם אתה מתחיל בהתחלה עם דרישות הליבה של ISO 27001. עם זאת, דרישות הליבה (סעיפי ניהול) מכסות תפעול מעבר ליישום, ולכן יפנו את תשומת הלב לשקול פעילויות לאחר הסמכה (כגון ניטור, ביקורת פנימית, סקירה ושיפור) לפני שתתחיל להפעיל את ה-ISMS שלך. זו טובה יותר, אבל לא הדרך הטובה ביותר כאשר אתה ממהר או רוצה ללכת בדרך הכי נוחה. יש דרך טובה יותר להבטיח תוצאות, שלוקח את הטוב ביותר מכל השיטות הנפוצות, ומונע את הבזבוז מניתוח פערים. אנו קוראים לזה שיטת התוצאות המובטחות - ARM.
כוון לפרגמטיות ולא לשלמות עם ה-ISMS הראשון שלך
לעתים קרובות, אך לא תמיד, יש מניע חיצוני להשגת תקן ISO 27001, כגון דרישת מכרז או לחצים של לקוחות בהינתן שינוי בתיאבון הסיכון עם שרשרת האספקה (למשל בגלל פשעי סייבר או רגולציה כגון GDPR). אותם נהגים חיצוניים מתכוונים בדרך כלל ללוחות זמנים צפופים, ולכן שלמות היא לרוב האויב של הטוב בכל הנוגע להישגים הסמכת ISO 27001 הצלחה למועד דחוס, במיוחד אם לאחר הסמכה עצמאית.
ISO 27001, כמו תקני ניהול ISO אחרים, עוסק כולו בשיפור מתמיד והוא ביסודו תקן מבוסס ניהול סיכונים. אז להיות פרגמטי לגבי הסיכון העסקי (בהנחה שזה מקובל גם על הלקוחות), ולהראות שיפור כחלק ממערכת הניהול, מתקבל היטב על ידי רואי החשבון. זה גם מראה א הארגון נמצא בשליטה ומודע לסיכונים שלו. ככזה, ה-ARM מדגיש את הפרגמטי על המושלם ומאפשר לך לבנות בקלות על מה שיש לך היום. לאחר מכן אתה מתכנן שיפורים לאורך זמן, עם עדיפות מנקודת מבט של סיכון.
אם עוד לא עשיתם מספיק היום אז ההגדרה המוגדרת מראש פלטפורמת ISMS.online, התיעוד הניתן לפעולה הכלול ושירותי המאמן הווירטואלי האופציונליים יעזרו לך להשיג תוצאות הרבה יותר מהר ובעלות כוללת נמוכה יותר מכל חלופות אחרות. המאמן הוירטואלי כולל גם את שלבי ה-ARM להצלחה, אשר מסוכמים להלן.
אנו מקלים על השגת ISO 27001
קבל ראש של 77%
ה-ISMS שלנו מגיע מוגדר מראש עם כלים, מסגרות ותיעוד שתוכלו לאמץ, להתאים או להוסיף אליהם. פָּשׁוּט.
הדרך שלך להצלחה
שיטת התוצאות המובטחות שלנו נועדה לתת לך הסמכה בניסיון הראשון שלך. אחוזי הצלחה של 100%.
תראה ותלמד
שכח מהדרכה גוזלת זמן ויקרה. סדרת סרטוני המאמן הוירטואלי שלנו זמינה 24/7 כדי להדריך אותך.
כיצד לעקוב אחר ARM להצלחת ISO 27001 מהירה ויעילה
שלב 1: תאר את סביבת אבטחת המידע הארגונית הנוכחית
ת: הניחו את היסודות להצלחת ניהול אבטחת מידע
זה אומר שאתה מבין את הארגון שלך ואת הרלוונטיות של אבטחת מידע אליו. הוא כולל שיקולים לגורמים שיתעניינו בניהול אבטחת המידע שלך, נכסי המידע שעליכם להגן עליהם, הסיכונים העומדים בפניכם והרמה העליונה שלכם. מדיניות אבטחת מידע.
למעשה זה כולל פנייה סעיף 4, סעיף 5, וסעיף 6 לתקן ISO 27001 יחד עם נספח A 8, המתמקד בסיווג המידע ומלאי נכסי המידע. אם אתה עדיין לא יכול לעשות זאת, פלטפורמת ISMS.online מכילה הרבה תוכן וכלים שיעזרו לך לתאר במהירות תחומים אלה. זה גם מציע בנק של הנפוצים ביותר סיכוני אבטחת מידע, קישור לבקרות הרלוונטיות של נספח A, ומבטיח באופן מכריע שאתה נוקט בגישה ליישום שלך המתאימה לתרבות העסקית שלך, לתיאבון הסיכון ולדרכי העבודה הרצויות שלך.
ב: תאר את המדיניות והבקרות הנוכחיות של אבטחת מידע
כבר יהיו לך מדיניות ובקרות מסוימות, גם אם הן מרומזות ולא מתועדות היטב. סביר להניח שהדברים מבוססים על התחשבות בסיכונים או על "פרקטיקה מומלצת" וידע של עובדים מקצועיים, או סתם גישות שכל ישר סביב הגנה על המידע היקר שלך מפני גורמים זדוניים. ייתכן שזה לא נעשה באמצעות רשמי הערכת סיכונים או גישה מתועדת. לכן, עבור השלב הזה, אתה פשוט צריך לתאר מה אתה עושה היום, בהקשר של התקן מדיניות ובקרות בנספח A, ולאחר מכן קשר אותו בחזרה לנכסי המידע ולעבודת סיכון הכותרת שתעשה בהנחת היסודות.
אם אתה לא יכול לתאר בקלות איך אתה לעבוד היום בתחומי אבטחת המידע הרלוונטיים בהתבסס על ניתוח הסיכונים שלך, גם לא תוכל להדגים זאת בביקורת שלב 2 כך שלמבקר חיצוני לא תהיה ברירה אלא להוציא הודעות אי התאמה וכשלים אפשריים. זו אחת הבעיות הנפוצות שעומדות בפני ארגונים שפשוט רוכשים ערכות כלים של מסמכי מדיניות אבטחת מידע, ואז זורקים אותם לכונן משותף וחושבים שזה מספיק טוב להצלחה; זה לא. התיעוד, התוכן והכלים המובנים מראש בפלטפורמת ISMS.online עבור בקרות נספח A יעזרו להנחות את החשיבה שלך. הם גם נותנים לך את ההזדמנות לאמץ, להתאים או להוסיף לו, חוסכים כמויות עצומות של זמן ובאופן מכריע מוודאים שזה נכון לעסק שלך להיות מסוגל להדגים גם בפועל.
ג: לאמץ או להתאים את דרישות הליבה הנותרות של ISO 27001
כעת תוכלו לחזור אחורה ולתאר כיצד תיגשו לשאר דרישות הליבה של התקן, המתמקדות יותר בניהול התפעולי ובשיפור מתמשך של מערכת ניהול אבטחת המידע. זה כולל איך תתייחס לכמה היבטים כואבים מבחינה מנהלית אך חשובים של ה-ISMS, כמו גם הבהרת המנהיגות והתפקידים התומכים במערכת ניהול אבטחת המידע. הניהול שעלול לכאוב כולל תיעוד של הצהרת התחולה עבור ISO 27001 סעיף 6.1.3 וכן את התהליכים עבור עמידה ביעדי אבטחת מידע בסעיף 6 של דרישות הליבה. חלק זה מתייחס גם לאופן ניהול הפעולה, ביקורת פנימית, נערכים סקירות ההנהלה, פעולות מתקנות, אי התאמות ושיפורים.
כמו שאר החלקים של ISO 27001, ISMS.online כבר התייחס להרבה מהדרישות כאן, כלומר גישה נטולת כאבים יחסית, עם דיווח אוטומטי ומרחבי עבודה מעשיים שהוגדרו מראש כדי להדגים את הפעולה האפקטיבית הזו בקלות. זה עושה דרך ארוכה כדי לעזור לך להשיג את סט הדרישות הסופי הזה בטווח זמן קצר ככל האפשר.
שלב 2: עבור לאוויר עם ה-ISMS
ככל שתוכלו להעביר את מערכת ניהול אבטחת המידע שלכם מוקדם יותר למצב תפעול, כך היא יכולה להפוך מהר יותר ל'עסקים כרגיל' ולהראות שאתם מתייחסים לאבטחת מידע ברצינות. סביר להניח שלך ISMS תתחיל לפעול באופן אורגני עם תהליכים, בקרות ומדיניות שהוכנסו לאורך כל תקופת היישום, עם זאת, כדאי לציין תאריך שבו ה-ISMS נחשב "חי ומבצעי".
היתרונות הם:
- נקודת "התחלה" מוגדרת בבירור שלפניה המבקרים לא צריכים לשקול במסגרת היקף ביקורת ה-ISMS ואין לתעד ממצאים של אי ציות לפני תאריך זה
- הוא מתמקד בגורמים אחראיים בתוך הארגון מרגע שהם צפויים להתחיל לספק ראיות לבקרות בתחום אחריותם
- ניתן להתייחס לכל דבר לפני תאריך זה במהלך ביקורת על ידך כ"אימוץ מוקדם"
אתה לא חייב להיות "מושלם" בתאריך "העלאה לאוויר", אבל כדאי לבחור תאריך שבו רוב התהליכים, המדיניות והבקרות מוכנים לפעולה. ברור שעדיין ניתן לבצע שיפורים בין תאריך זה לביקורת שלב 1 או שלב 2.
באופן אידיאלי, התאריך צריך להיות לפחות חודש אחד לפני הביקורת שלב 1 (שהוא בדרך כלל חודש אחד לפני הביקורת שלב 1). זאת על מנת להבטיח כי על ידי זמן הביקורת בשלב 2, נצברו ראיות של לפחות חודשיים.
הסכם ותעד את תאריך ה"השקה" הרשמי של ה-ISMS. אם אתה משתמש ב-ISMS.online, אנו מציעים לך ללכוד ולתעד את זה באזור לוח ה-ISMS שלך וגם להכריז על כך לצוות שלך בהיקף, למשל באמצעות התקשורת של קבוצת ISMS.online ולהפנות אותו למבקר כדי לראות אם יתבקש.
שלב 3: תכנן שיפורי אבטחת מידע
במהלך העבודה לתיאור יישום אבטחת המידע הנוכחי שלך, סביר מאוד שזיהית שיפורים שאתה צריך או מעוניין לבצע. אלה עשויים להיות כדי לצמצם עוד יותר את הסיכונים שלך לרמה מקובלת, לשפר את היעילות התפעולית או אפילו לנצל הזדמנויות חדשות. במקום להאט לשיפור באותו זמן, הייתם רושמים הערות לגבי תחומים אלה לשיפור, והגיע הזמן לתכנן את שיפורים באבטחת המידע. זה יראה שאתה שולט ב-ISMS ותראה להנהלה הבכירה שלך כמו גם למבקר חיצוני שאתה משתפר ללא הרף.
ב-ISMS.online הוא מעודד את השיפורים הללו להירשם ב"מסלול פעולות מתקנות ושיפורים" (או אם פשוט מאוד אז הוסיפו אותם כמשימות במסגרת תוכנית הטיפול בסיכון הרלוונטית.) כדי להוכיח שבקרה ותכנון יעילים, עליך לעיין כעת בכל הפריטים והקצאת בעלים, תעדוף אותם לפעולה, קביעת תאריכי יעד להשלמה.
במהלך תרגיל סדר העדיפויות, יש לקחת בחשבון את הדברים הבאים:
- כמה קל יהיה יישום השיפור
- כמה יושגו הפחתת סיכון או הטבות אחרות
- אם ניתן להשלים את יישום השיפור לאחר הסמכה (כאשר בעל הסיכון שמח לקבל את רמת הסיכון מעל היעד עד להשלמת היישום)
- אם יש להשלים את היישום לפני ביקורת שלב 27001 ISO 1 (שיפורים בתיאור הבקרות)
- אם יש להשלים את ההטמעה לפני ביקורת שלב 27001 של ISO 2 (שיפורים ביישום ותפעול בקרות)
כאשר יש צורך בשיפורים שזוהו לפני הביקורת שלב 1 או שלב 2, אתה צריך להיות נוח שניתן להשיג זאת לפני הזמנת הביקורת הרלוונטית. (הביקורות בשלב 1 ושלב 2 הן בדרך כלל בהפרש של כחודש).
לאחר השלמת שלב 3 תהיו במקום ממש טוב להצליח בביקורת שלב 1.
שלב 4: ביקורת ISO 27001 שלב 1 ושלב 2
מהי ביקורת שלב 1 עבור ISO 27001?
לאחר השלמת שלבים 1-3, אתה תהיה במקום מצוין עבור הביקורת בשלב 1. מבקר גוף ההסמכה ירצה לראות את התיעוד של מערכת ניהול אבטחת המידע ולהבין שעמדת בדרישות, לפחות בתיאוריה! שלב זה הוא יותר סקירת שולחן העבודה של ה-ISMS עם המבקר, המכסה את תחומי החובה ומבטיחה כי רוח התקן מיושמת. גופי הסמכה שחושבים קדימה מתחילים לעשות זאת מרחוק עם פלטפורמות, כמו ISMS.online, מה שמוריד עלויות ויכול להאיץ גם את התהליך. התוצאה מתרגיל זה היא המלצה למוכנות לביקורת שלב 2 (אולי עם תצפיות להערכה מחדש במהלך הביקורת שלב 2) או צורך לטפל בכל אי-התאמות שזוהו לפני התקדמות נוספת.
מהי ביקורת שלב 2 עבור ISO 27001?
לאחר השלמת הביקורת שלב 1, למבקר יש הבנה בסיסית של הארגון שלך, שלו עמדת אבטחת מידע וגישתה לניהול אבטחת מידע. עכשיו הם ירצו לראות שאתה באמת עושה את מה שאתה אומר שאתה עושה. יתר על כן, הם יצפו לראות שאתה מעריך עד כמה ה-ISMS שלך יעיל וכיצד אתה מנהל שיפור מתמיד. מטרת הביקורת בשלב 2 היא להוכיח שה-ISMS שלך פועל כמתואר, בהתאם לדרישות התקן ומספק את רמת אבטחת המידע הנחשבת נאותה ופרופורציונלית לסיכונים העומדים בפני הארגון שלך. שלב 1 הוא די פשוט, אבל שלב 2 הוא בסך הכל לתת למבקר את הביטחון הזה שאתה מוכיח ש-ISMS בצורת נשימה חיה על פני הטווח המוצהר שלך.
כבדיקה צולבת אחרונה לפני הביקורת בשלב 2, שאל את עצמך את השאלות הפשוטות הבאות:
- האם סגרנו ממצאים קריטיים מביקורת שלב 1?
- האם נוכל להוכיח את פעולתם של כל תהליכי ה-ISMS הנדרשים?
- האם היעדים נמדדים ומוגשים?
- האם מרשם הסיכונים מתוחזק?
- Is מודעות והדרכה לאבטחה לפרוס לאלו בהיקף?
- הם פערי יכולת להיות סגור?
- האם מתבצעות ביקורות פנימיות?
- הם רשמיים ביקורות ניהול ISMS מתנהל?
- האם פעולות מתקנות ושיפורים מתועדים ועוקבים אחריהם?
- האם נוכל להוכיח את פעולתם של כל בקרות ותהליכי אבטחת המידע הרלוונטיים?
- האם נוכל להראות שבמקום שבו מזוהים אירועים, אלה מתועדים, עוקבים, מנוהלים ומיושמים לאורך זמן?
- האם נוכל להראות שאנו מרוצים מפרופיל הסיכון הנוכחי שלנו? זה:
- סיכון נסבל ללא צורך בפעולה נוספת בשלב זה
- סיכון נסבל כיום כאשר בוחנים שיפורים שזוהו שנרשמו ומיושמים בפרק זמן מוגדר?
אם אתה יכול לענות "כן" על השאלות האלה, אז אתה כנראה מוכן לביקורת שלב 2.
המבקר יחקור עוד, ואז יבדוק את הגישה שלך וכמעט בוודאות יבחר צוות כדי להוכיח שהם מיומנים, מודעים ותואמים. חשוב מאוד שהצוות שלך ואנשים אחרים בהיקף (למשל ספקים) יוכלו להוכיח שהם מבינים היכן למצוא ועוקבים אחר המדיניות והנהלים המוצהרים שלך אם המבקר יבקש מהם. ISMS.online מציע ערכות מדיניות להדגמת תאימות וקבוצות תקשורת ISMS לשיתוף צוות וספקים מרכזיים בנושא אבטחת מידע. דגימת הראיות עשויה לכלול:
- בדיקות פיזיות (למשל טיול באתר/משרד)
- ראיונות עם אנשים עם אחריות על ISMS או אבטחת מידע
- ראיונות עם צוות כללי (למשל כדי לבדוק מודעות)
- בדיקת יומנים ורישומים (מכל הסוגים)
- סקירה של יישום בקרות טכניות (למשל קובצי תצורה)
אם ההיקף שלך מקיף מיקומים מרובים, גוף ההסמכה ירצה לבדוק מספר כאלה, במיוחד אתרים עם כל פונקציונליות מרכזית. הם יספקו פרטים מדויקים כאשר תבקש מהם את הצעת המחיר שלך.
ישנן שתי תוצאות מביקורת שלב 2:
- לא מומלץ להסמכה - זה מאוד יוצא דופן שכן כל בעיה גדולה הייתה צריכה להיות מזוהה במהלך הביקורת בשלב 1. זה קורה אם פעולות לטיפול באי-התאמות מביקורת שלב 1 לא נלקחו. מדי פעם תימצא אי התאמה גדולה שלא התגלתה בעבר. אם זה אכן יקרה, אזי גוף ההסמכה יפסיק כמעט בוודאות את הביקורת באופן מיידי ויפרט את השלבים הנדרשים לסגירת הנושא. במקרה הגרוע ביותר, ייתכן שיהיה צורך בהפעלה מחדש של הביקורת בשלב 2.
- מומלץ להסמכה – משמעות הדבר היא שבכפוף לביקורת עמיתים של הביקורת בתוך גוף ההסמכה וביקורת פוטנציאלית על ידי גוף ההסמכה (למשל UKAS) תקבל את ההסמכה שלך.
ייתכן שתקבלו גם אזורים לשיפור או אי-התאמות קלות שיש לטפל בהן בהתאם להמלצות המבקר.
מה קורה לאחר ביקורת ISO 27001 שלב 2?
אם הומלץ לך להסמכה... מזל טוב! תהנה מהרגע כי זו עבודה קשה מאוד בבניית ניהול אבטחת מידע מוסמך עצמאי שאנשים יכולים לסמוך עליו. אם זה היה פשוט כולם היו עושים את זה אבל הם לא. למרות ש-ISMS.online הופך את כל המסע להרבה יותר קל ומהיר, זה עדיין הישג נפלא ששווה לחגוג אותו.
לאחר מכן, גוף ההסמכה יבדוק את דו"ח הביקורת באופן פנימי ויעביר את הדו"ח לגוף ההסמכה (למשל UKAS) אשר יסתכל על מדגם מכל גוף הסמכה כדי לוודא שהסטנדרטים נשמרים. לאחר שגוף ההסמכה ייתן את חותמת האישור שלו תונפק תעודה. תהליך הבדיקה וההסמכה נמשך בדרך כלל 3-4 שבועות. התעודה מחזיקה מעמד למשך 3 שנים ותבצע ביקורת מעקב במרווחי זמן קבועים בדרך, בדרך כלל מדי שנה.
לעת עתה, אתה יכול להמשיך הלאה על ידי "לחגוג ולבנות על הצלחה" שכן ISMS הוא לכל החיים, לא רק ההסמכה הראשונה. את מה שניתן לתת אפשר לקחת בקלות אם לא תשמרו ותשפרו את הגישה שלכם לאורך זמן אז זכרו להמשיך לעשות קצת, לעתים קרובות, ותגלו שזה משתלב במהירות לחוויה ניתנת לניהול וחיובית עבורכם ועבור הארגון. .
