Offentliggjort 6. december 2016 af Karen Walsh • 2 min læsning
ISO Framework er en af det grundlæggende i informationssikkerhed og dets kontrol. Mens mange ledere fokuserer på computere og deres kontrol, ændrer risikostyringsprincipperne i ISO 27001 den måde, du har brug for for at nærme dig overholdelsen. Dette fokus på teknologisiden kan ofte føre til en overholdelsesgab. Er du ny på opgaven med at administrere ISO-compliance-software? Nedenfor er en grundlæggende forståelse af ISO 27001 og nogle tip til opnåelse af overholdelse.
Hvad er ISO 27001?
ISO’er er internationalt enige om standarder for informationssikkerhed. ISO 27001 opretter et sæt regler, der giver ledere diskrete trin til at følge. Disse trin organiserer deres informationssystemer og sikrer løbende overholdelse af sikkerhed. Da ISO’er ikke er reguleret af en enkelt statlig enhed, vælger virksomheder specifikt at engagere sig i overholdelse og certificering for at styrke deres sikkerhedsstandarder. Disse handlinger er vigtige, fordi de hjælper med at øge kundernes tillid.
Den Internationale Organisation for Standarder (eller “ISO”) udviklede / og definerer det som en “familie af standarder, der hjælper din organisation med at administrere sikkerheden af aktiver såsom som finansiel information, intellektuel ejendomsret, medarbejderoplysninger eller oplysninger, der er betroet dig af tredjeparter. ” Med andre ord dækker ISO 27001 ikke kun et selskabs interne information, det dækker også tredjepartsudbydere. Da ISO 27001 er et levende dokument, udvikler det sig løbende for at imødekomme nye informationsbehov. Disse opdateringer giver løbende vejledning til at imødekomme fortsatte sikkerhedsproblemer.
Hvorfor ISO 27001?
De fleste virksomheder bruger processer og procedurer til at skabe konsistens og modvirke ændringer i ledelse og personale. Men med denne brede definition kan mange organisationer føle sig overvældede af ideen om at gå i gang med certificeringsprocessen. Anthony Jones fra IS Partners, LLC bemærker, at kun omkring en tredjedel af de virksomheder, der er opmærksomme på standarden, vælger at vedtage den. ISO-certificering er en lang og detaljeret proces. Imidlertid er omkostningerne ved certificeringsprocessen med hensyn til løbende tid og energi lig med eller mindre end ikke at være kompatible.
For CISO’er giver en ISO-certificering primært en fordel ved løbende opdateret overvågning. I stedet for at skulle søge oplysningerne alene, får CISO’er opdaterede meddelelser om ændringer fra deres certificeringsorgan. Desuden kræver trin til certificering samt revision af overensstemmelsesrevision risikovurderinger. Disse fokuserer styring på dokumenteret risikobehandling i stedet for opfattet risiko.
Hvorfor ikke ISO 270001?
En ISO 27001-certificering kræver meget information, tid, kræfter og arbejdskraft. Mange CISO’er frygter, at manglende en ISO 27001-revision vil medføre tab af kundetillid. Uanset om en virksomhed formelt ansøger om ISO-certificering, bruger den ofte mange af de samme processer og procedurer. Virksomheder følger disse protokoller, fordi branchen anerkender dem som standarder.
Til ISO eller ikke til ISO? Dette er spørgsmålet
Mange compliance-ledere forbinder ISO 27001-overensstemmelse med det rynkede næseudseende, der ofte ledsager en gammel tun-sandwich. Dette skyldes, at disse ledere har en forældet og forældet måde at styre en ISO-revision på. Heldigvis for compliance-teams er det tid til at overveje, hvordan dette gøres. En ISO-certificering behøver ikke at være smertefuld for at opnå. Med den rette ISO-kontrolsoftware og -proces kan compliance-teams nu opnå en ISO-certificering og beskytte både forretningen og kunden på lang sigt.