הטיפים המובילים שלנו להצלחת ביקורת ISO 27001 שלב 2 בפעם הראשונה

אם אתה הולך על ISO 27001 הסמכה, הביקורת שלך שלב 2 תהיה אחת מנקודות המשבר הגדולות. תצטרך להראות שה-ISMS שלך הוא יותר מסתם מסמכים כתובים היטב וכוונות טובות כלליות. זה צריך לעבוד טוב בפועל כמו שהוא עובד על הנייר.

במהלך השנים, עזרנו ללקוחות רבים להשיג הצלחה ראשונה בביקורת בשלב 2. וחלק משלנו ISO 27001 מומחים היו מבקרי גופי הסמכה בעצמם, כך שאנו מכירים היטב את התהליך משני הצדדים. נעזרנו בזה כדי לשתף את:

  • שלב 2 בדיקה טיפים מובילים
  • ISO 27001 רשימת מתחילים לעשר

הקפד לכסות את כל הדברים החיוניים

המבקר שלך יסתכל על כל חלק ב-ISMS שלך. הם יתמקדו במיוחד במרכיבי הליבה שלו. אם אלה אינם עדינים, הם לא ימליצו עליך להסמכה. אז כשאתה מתכונן לביקורת שלך, הקפד במיוחד לכסות:

ניהול סיכונים

כדי שהגנת ה-infosec שלך תעבוד, אתה צריך להבין מפני מה אתה מגן על עצמך. אז תעבור על שלך ניהול סיכונים תוכן ותהליכים עם מסרק שן עדין.

ודא שיש לך:

ניהול נכסים

ה-ISMS שלך מסתכל פנימה כמו גם החוצה. המבקר שלך צריך לראות שאתה מבין בדיוק על מה אתה מגן. אז בדוק שוב שהקלטת והבנת את כל הדברים שלך נכסי מידע.

זכור כי הארגון שלך נכסי מידע הם יותר מסתם תוכנת ה-IT שלה וחומרה. הרשימה יכולה לכלול כל דבר, החל מלקוח וספק, חוזים וכלה בחפצים בלתי מוחשיים כמו המותג והמוניטין שלך. ודא שכללת הכל!

ניהול אירועים

המבקר שלך בודק שה-ISMS שלך עובד בפועל. אז הם יצטרכו לראות שאתה והקולגות שלך יודעים בדיוק מה לעשות כשהגרוע מכל קורה והסוכר - אה - פוגע באוהד.

אתה תצטרך להיות בטוח לחלוטין שאתה ניהול אירועים התהליכים עד אפס. זה אומר להצמיד:

  • מתי וכיצד הם מופעלים
  • מי עושה מה, מתי, כשמקרה חדש קורה
  • איך אתה מתעד ולומד מהתגובה שלך לכל אירוע, כך שאתה יכול:
    • שפר את ה-ISMS שלך
    • ודא שלחזרות כלשהן תהיה פחות או אפילו לא השפעה

מיטה נכונה ב-ISMS שלך

המבקר שלך צריך לראות שה-ISMS שלך עובד בפועל. כדי לוודא שזה המקרה, תן לזה לרוץ קצת. תן לעצמך קצת זמן ומקום לבנות אמון ב-ISMS שלך לפני שאתה מראה את זה למבקר שלך.

אתה תבנה ביטחון בשתי דרכים. בחלקו, זה יבוא באופן טבעי כשאתה מפקח על ה-ISMS שלך, תראה מה עובד ותתקן את מה שלא. אבל כדאי גם לסמן כמה תיבות רשמיות יותר. ודא שביצעת:

  • אחד או יותר ביקורת פנימית וסקירות מערכות ניהול
  • פעילויות חינוך ומעורבות מתאימות לצוות

הכדור השני חשוב במיוחד. ISMS יעיל רק כאשר אנשים מבינים אותה ועומדים בה. אז ודא שהאנשים שלך יודעים:

  • בשביל מה זה
  • למה זה כל כך חשוב
  • אילו מדיניות ובקרות הם צריכים לפעול
  • איך בדיוק לעקוב אחריהם

ודא שה-ISMS שלך מבצע שינויים אמיתיים

ארגונים יוצרים ISMS כי הם לא מאובטחים מספיק בלעדיהם. להפוך לאבטח פירושו לשנות את הגישה שלהם לאבטחה. זה יוצר דרך פשוטה מאוד לבדוק אם ה-ISMS שלך מוכן לביקורת. שאל את עצמך:

האם משהו באמת השתנה?

יעיל האיזמים ייצור שינויים גלויים ומעשיים באופן שבו הארגון שלך פועל. שינויים אלה ישפיעו הן על התהליכים והיחסים הפנימיים והחיצוניים שלה. הם צריכים להיות מאוד ברורים לך.

אם ה-ISMS שלך יצר שינויים מעשיים, חיוביים, ברורים, אז זה צעד אחד קרוב יותר להיות מוכן לביקורת. אבל אם זה רק מחדש את הקיים שלך מערכות אבטחה, כנראה שיש לך עוד עבודה לעשות.

אל תדאג מנעולים שישפיעו על הביקורת שלך

ביקורת שלב 2 תמיד הייתה מעמיקה ובמקום. זה קשה בעולם המודרני שלנו, הנגוע בקוביד. אבל אל תיתן לזה להדאיג אותך.

לגופי הסמכה ברור מאוד שתהליך הביקורת צריך להמשיך כרגיל ללא קשר למצב הנעילה של הארגון. הם ישמחו לבקר את הארגון שלך מרחוק ולעבוד איתך להתגבר על כל אתגרים.

ביקורת מרחוק הופכת את זה אפילו יותר חשוב ל-ISMS שקוף לחלוטין, נגיש בקלות, הכל-במקום אחד, כמו (אנחנו מרגישים שצריך להזכיר) זה הפלטפורמה שלנו יכול לעזור לך ליצור. ואם אתה כבר איתנו, זה מה שכבר יהיה לך.

אל תפסיק לאחר שהביקורת שלך בשלב 2 הסתיימה

"ארגונים רבים עוברים את הביקורת שלהם, חוגגים את כל העבודה הקשה שלהם ו... בעצם שוכחים הכל מה-ISMS שלהם. כל אחד חוזר לעבודה היומיומית שלו. ואז, עשרה חודשים או משהו מאוחר יותר, יש פאניקה גדולה כשהם צריכים להתכונן לביקורת התחזוקה הראשונה שלהם.

ISMS היא לא מערכת אש ושכח. כדי לשמור על הסמכת ISO 27001, עליו:

  • למד מכל תקרית אינפורמטיבית
  • התפתח ככל שארגון האם שלו גדל ומשתנה
  • קח בחשבון את כל האיומים וההתפתחויות החדשות של infosec

לעתים קרובות אנו אומרים שתחזוקת ה-ISMS שלך היא אתגר לא פחות מלהפעיל אותו. ודא שזה אתגר שאתה מוכן אליו!

עקוב אחר רשימת המשימות שלנו למתחילים לעשרה ISO 27001

נתנו לך כמה טיפים כלליים להתכונן לביקורת שלב 2 שלך. אנחנו הולכים לסיים עם כמה הדרכה ספציפית. טבלה זו היא מדריך מתחיל לעשר לבדיקת ה-ISMS שלך מול ה תקן ISO 27001. זה יעזור לך להתמקד כשאתה חושב דרך כל חלק שלו.

 

ISO 27001 Ref & תיאור

סעיף 10.1

האם כל הממצאים מביקורת שלב 1 שלך נרשמו, נוהלו ונעקבו?

האם כל אי ההתאמות הגדולות טופלו עד להשלמה?

האם אי-התאמות מינוריות הן סגורות או על המסלול בהתאם להן פעולה מתקנת לְתַכְנֵן?

סעיף 5

האם כל התהליכים המתוזמנים פועלים בזמן כדי להציג רמות משאבים נאותות?

סעיפים 6.1, 8.2 ו-8.3

האם מרשם הסיכון שלך מציג תמונה עדכנית מדויקת של רמות הסיכון (כלומר אתה עדכון סיכונים כנגד שינויים ושיפורי טיפול בסיכון)?

סעיף 6.2

האם אתה השגת יעדי אבטחת המידע שלך?

סעיף 7.2

האם אתה סוגר משהו אבטחת מידע פערי יכולת?

סעיף 7.3

האם אתה מפעיל את אבטחת המידע מודעות תוכנית שתיארת?

סעיף 9.1

האם לקחת והערכת את שלך מדידות ביצועים של ISMS?

סעיפים 9.2, 10.1 ו-10.2

האם סיימת לפחות שניים ביקורת פנימית מלוח הזמנים של הביקורת?

האם תיעדתם, עקבתם וניהלתם את כל הממצאים שלכם?

אתה לא בהכרח צריך להשלים ממצאים הדורשים שיפור משמעותי, אבל אתה צריך להראות שהפעולה מתוכננת או מתקיימת.

סעיפים 9.3, 10.1 ו-10.2

יש לפחות ISMS רשמי אחד סקירה מנהלתית התבצע בהתאם לדרישות התקן?

האם רשמתם, עקבתם וניהלתם את כל הממצאים?

בקרות נספח א'

האם אתה יכול להראות הוכחות לכך שאתה מפעיל כל בקרה ותהליך רלוונטי ביעילות?

איפה אתה צריך לעשות שיפורים, האם אתה יכול להראות שאתה עוקב אחר ומנהל אותם?

א.16. ניהול אירועי אבטחת מידע

האם אתה יכול להראות שכאשר מתרחשים תקריות, אתה רושם, עוקב, מנהל ומגיב אליהם לאורך זמן?

סיום... ובהצלחה!

חשבנו הרבה על ביקורת שלב 2 כי בנינו הפלטפורמה שלנו לעזור ללקוחותינו דרכו. למעשה, כל לקוח שעקב אחרינו שיטת תוצאות מובטחות עברו את ההסמכה בניסיון הראשון שלהם.

ואתה לא צריך להתחיל הכל מחדש. קל להעביר את העבודה הקיימת שלך לפלטפורמה שלנו. אתה יכול לעבור בכל פעם שמתאים לך, גם אם סיימת את הביקורת שלך בשלב 1 או בעצם השיג ISO 27001 הסמכה.

וזה זה. אם פוסט זה בבלוג עוזר לך לעבור את הביקורת שלך בשלב 2, הודע לנו - אנחנו אוהבים לשמוע איך ארגונים מסתדרים עם זה. כל מה שנותר הוא לאחל לך בהצלחה! אנו בטוחים שכל העבודה הקשה שלך תשתלם.

 

מוכן לראות איך נוכל לעזור לך להצליח בפעם הראשונה בשלב 2?

הזמן הדגמה ללא מיתרים כדי לראות את הפלטפורמה שלנו בפעולה. ואנחנו סבירים באופן מפתיע. אתה יכול לקבל את הצעת המחיר שלך כאן.

« כיצד לערוך סקירת ניהול ISO 27001 שלך

5 טיפים מובילים להשגת הסמכת ISO 27001 »

נערך לאחרונה: 7 בפברואר, 2022
מְחַבֵּר

אל רוברטסון

אל הוא סופר מקצועי ומחבר פורסם המכסה מגוון נושאים. הוא כתב מגוון מאמרים על ציות ובעיקר על אבטחת מידע וכיצד הסמכת ISO 27001 יכולה לעזור לארגונים לצמוח.

צפה בכל הפוסטים של אל רוברטסון

פוסטים קשורים

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף