Publicerad 6 december 2016 av Karen Walsh • 2 min läsning
ISO Framework är en av grunderna för informationssäkerhet och dess kontroller. Medan många chefer fokuserar på datorer och deras kontroller, förändras principerna för riskhantering i ISO 27001 hur du behöver närma dig efterlevnad. Detta fokus på tekniksidan kan ofta leda till en efterlevnadsklyfta. Nytt med uppgiften att hantera ISO-programvara? Nedan följer en grundläggande förståelse för ISO 27001 och några tips för att uppnå efterlevnad.
Vad är ISO 27001?
ISO är internationellt överenskomna standarder för informationssäkerhet. ISO 27001 skapar en uppsättning regler som ger chefer diskreta steg att följa. Dessa steg organiserar sina informationssystem och säkerställer kontinuerlig säkerhet. Eftersom ISO inte regleras av en enda statlig enhet väljer företag specifikt att engagera sig i efterlevnad och certifiering för att stärka sina säkerhetsstandarder. Dessa åtgärder är viktiga eftersom de hjälper till att öka kundernas förtroende.
International Organization for Standards (eller ”ISO”) har utvecklat / och definierar det som en ”standardfamilj som hjälper din organisation att hantera säkerheten för tillgångar som som finansiell information, immateriell äganderätt, information om anställda eller information som anförtrotts dig av tredje part. ” Med andra ord täcker ISO 27001 inte bara ett företags interna information, utan även tredjepartsleverantörer. Eftersom ISO 27001 är ett levande dokument utvecklas det ständigt för att möta nya informationsbehov. Dessa uppdateringar ger kontinuerlig vägledning för att möta fortsatta säkerhetsproblem.
Varför ISO 27001?
De flesta företag använder processer och procedurer för att skapa konsekvens och motverka förändringar i hantering och personal. Men med den här breda definitionen kan många organisationer känna sig överväldigade av idén att inleda certifieringsprocessen. Anthony Jones från IS Partners, LLC konstaterar att endast ungefär en tredjedel av de företag som känner till standarden väljer att anta den. ISO-certifiering är en lång och detaljerad process. Men kostnaden för certifieringsprocessen i termer av pågående tid och energi är lika med eller mindre än att inte vara kompatibel.
För CISO: er ger en ISO-certifiering främst en fördel med kontinuerligt uppdaterad övervakning. I stället för att behöva söka informationen på egen hand, får CISO: er uppdaterade meddelanden om ändringar från sitt certifieringsorgan. Dessutom kräver steg till certifiering samt granskning av efterlevnad riskbedömningar. Dessa fokuserar hantering på dokumenterad riskbehandling istället för upplevd risk.
Varför inte ISO 270001?
En ISO 27001-certifiering kräver mycket information, tid, ansträngning och arbetskraft. Många CISO: er fruktar att misslyckande med ISO 27001-granskning kommer att leda till förlust av kundförtroende. Oavsett om ett företag formellt ansöker om ISO-certifiering använder det ofta många av samma processer och procedurer. Företag följer dessa protokoll eftersom industrin erkänner dem som standarder.
Till ISO eller inte till ISO? Det är frågan
Många efterlevnadschefer ansluter ISO 27001-överensstämmelse med det skrynkliga näsutseendet som ofta följer med en gammal tonfisksmörgås. Detta beror på att dessa chefer har ett gammalt och föråldrat sätt att hantera en ISO-granskning. Lyckligtvis för efterlevnadsteam är det dags att ompröva hur detta görs. En ISO-certifiering behöver inte vara smärtsam för att uppnå. Med rätt ISO-granskningsprogramvara och process kan efterlevnadsteam nu uppnå en ISO-certifiering och skydda både verksamheten och kunden på lång sikt.