Publisert 6. desember 2016 av Karen Walsh • 2 min lesning
ISO Framework er en av det grunnleggende om informasjonssikkerhet og dens kontroller. Mens mange ledere fokuserer på datamaskiner og deres kontroller, endrer risikostyringsprinsippene i ISO 27001 måten du trenger for å nærme deg samsvar. Dette fokuset på teknologisiden kan ofte føre til et samsvarskløft. Ny i oppgaven med å administrere ISO-samsvarsprogramvare? Nedenfor er en grunnleggende forståelse av ISO 27001 og noen tips for å oppnå samsvar.
Hva er ISO 27001?
ISO er internasjonalt avtalt om standarder for informasjonssikkerhet. ISO 27001 lager et sett med regler som gir ledere diskrete trinn å følge. Disse trinnene organiserer informasjonssystemene sine og sørger for kontinuerlig overholdelse av sikkerheten. Siden ISO ikke er regulert av en enkelt statlig enhet, velger bedrifter spesifikt å delta i samsvar og sertifisering for å styrke sikkerhetsstandardene. Disse handlingene er viktige fordi de bidrar til å øke kundenes tillit.
Den internasjonale organisasjonen for standarder (eller «ISO») utviklet / og definerer den som en «familie av standarder som vil hjelpe organisasjonen din med å administrere sikkerheten til eiendeler som som finansiell informasjon, immateriell eiendom, ansattes opplysninger eller informasjon som er betrodd deg av tredjeparter. ” Med andre ord dekker ISO 27001 ikke bare et selskaps interne informasjon, det dekker også tredjepartsleverandører. Siden ISO 27001 er et levende dokument, utvikler det seg kontinuerlig for å møte nye informasjonsbehov. Disse oppdateringene gir løpende veiledning for å møte fortsatte sikkerhetsproblemer.
Hvorfor ISO 27001?
De fleste selskaper bruker prosesser og prosedyrer for å skape konsistens og motvirke endringer i ledelse og bemanning. Imidlertid, med denne brede definisjonen, kan mange organisasjoner føle seg overveldet av ideen om å sette i gang sertifiseringsprosessen. Anthony Jones fra IS Partners, LLC bemerker at bare omtrent en tredjedel av selskapene som er kjent med standarden, velger å vedta den. ISO-sertifisering er en lang og detaljert prosess. Imidlertid er kostnadene for sertifiseringsprosessen når det gjelder pågående tid og energi lik eller mindre enn ikke å være i samsvar.
For CISOs gir en ISO-sertifisering primært en fordel med kontinuerlig oppdatert overvåking. I stedet for å måtte oppsøke informasjonen alene, får CISOs oppdaterte varsler om endringer fra sertifiseringsorganet. Videre krever trinnene til sertifisering samt revisjonsovervåking risikovurderinger. Disse fokuserer styring på dokumentert risikobehandling i stedet for opplevd risiko.
Hvorfor ikke ISO 270001?
En ISO 27001-sertifisering krever mye informasjon, tid, krefter og arbeidskraft. Mange CISO-er frykter at manglende ISO 27001-revisjon vil føre til tap av kundetillit. Imidlertid, uavhengig av om en virksomhet formelt søker om ISO-sertifisering, bruker den ofte mange av de samme prosessene og prosedyrene. Bedrifter følger disse protokollene fordi bransjen anerkjenner dem som standarder.
Til ISO eller ikke til ISO? Det er spørsmålet
Mange compliance-ledere kobler ISO 27001-samsvar med det rynkede neseutseendet som ofte følger med en gammel tunfisk-sandwich. Dette er fordi disse lederne har en foreldet og utdatert måte å administrere en ISO-revisjon på. Heldigvis for compliance-team, er det nå på tide å tenke på nytt hvordan dette gjøres. En ISO-sertifisering trenger ikke å være smertefull for å oppnå. Med riktig ISO-revisjonsprogramvare og prosess kan compliance-team nå oppnå en ISO-sertifisering og beskytte både virksomheten og kunden på lang sikt.