4 Voordelen van ISO 27001-implementatie
Inhoudsopgave:
- 1) Waarom is ISO 27001 zo belangrijk voor organisaties?
- 2) Certificatie-instellingen
- 3) Wat zijn de vier belangrijkste voordelen van het behalen van ISO 4?
- 4) Volgende stappen – Het plannen van de business case voor een managementsysteem voor informatiebeveiliging
- 5) « Voldoe aan de Data Security and Protection Toolkit 2018
- 6) ISO 27001 – Bijlage A.9: Toegangscontrole »
ISO 27001:2013 (de huidige versie van ISO 27001 ) is een van de meest populaire informatiebeveiligingsstandaarden ter wereld. Steeds meer bedrijven behalen de ISO 27001-certificering om de robuustheid van hun informatiebeveiligingsbeheer te onderstrepen.
Naleving van ISO 27001 ging voorheen over het hebben van concurrentievoordeel, maar nu ISO 27001-certificering de norm wordt voor best-practice informatiebeveiliging, is het steeds vaker een minimale toegang tot een aanbesteding of contractverlenging. Het voldoen aan de norm kan het verschil maken tussen het winnen of verliezen van die belangrijke aanbestedingen.
Waarom is ISO 27001 zo belangrijk voor organisaties?
ISO 27001 is de enige standaard die de specificaties voor een informatiebeveiligingsbeheersysteem (ISMS).
Organisaties moeten steeds vaker laten zien dat ze te vertrouwen zijn op het gebied van informatiebeveiliging en privacybeheer ISO 27001 laat zien dat een organisatie risico’s heeft geïdentificeerd en preventieve maatregelen treffen om de organisatie te beschermen tegen inbreuken op de informatiebeveiliging.
Certificatie-instellingen
ISO ontwikkelt internationale standaarden, maar geeft geen certificaten uit. Voor organisaties in Groot-Brittannië is de ISO 27001-erkenning het meest waardevol wanneer deze wordt gecertificeerd door een UKAS geaccrediteerde certificeringsinstantie die uw organisatie onafhankelijk zal auditen en u de ISO 27001-certificering zal verstrekken.
In Noord-Amerika is de ANSI National Accreditation Board (ANAB) de grootste accreditatie-instantie. Voor een lijst met hun geaccrediteerde instanties kunt u terecht op hun directory. CDG worden erkend als een populaire certificeringsinstantie in India.
Het “International Accreditation Forum” (IAF) houdt een lijst bij van alle internationale accreditatie-instellingen die lid zijn van de IAF. Deze lijst kun je hier vinden: IAF-ledenlijst.
Wat zijn de vier belangrijkste voordelen van het behalen van ISO 4?
Voordeel 1: Klanten behouden en nieuwe klanten binnenhalen
Terwijl het rendement op de investering van een managementsysteem voor informatiebeveiliging kan hoog zijn, triggers voor de initiële investering komen doorgaans van externe krachten zoals machtige klanten.
Er zijn steeds meer aantallen belanghebbenden veel meer geïnteresseerd in de manier waarop hun waardevolle informatie wordt behandeld en beschermd. De risico's die daaraan verbonden zijn internetveiligheid en datalekken van welke aard dan ook zijn te groot om simpelweg een handdruk te geven en te beloven dat een nieuwe leverancier verantwoordelijk met informatie omgaat.
Het historische geloof dat organisaties op natuurlijke wijze de privacy en veiligheid van gegevens beschermen, heeft plaats gemaakt voor het vermoeden dat gegevens verkeerd worden gebruikt. Organisaties moeten hun bedrijf beschermen, en dat geldt ook voor de veiligheid van hun bedrijf toeleveringsketen. In ons whitepaper wordt dit nader onderzocht 'het plannen van de business case voor een managementsysteem voor informatiebeveiliging'.
Door uw organisatie af te stemmen op de prioriteiten en eisen van uw klanten, krijgt u een concurrentievoordeel en wordt u een veel aantrekkelijker prospect.
Voorts ISO 27001-certificering demonstreert robuuste beveiligingspraktijken, waardoor de klantrelaties en het klantbehoud worden verbeterd.
Voor veel van onze klanten is de wens om de ISO 27001-norm wordt gedreven door de eisen van hun klanten, of het nu gaat om bestaande klanten of bij aanbestedingen om nieuwe klanten binnen te halen.
In elke situatie, of de chauffeur nu moet voldoen aan de eisen van bestaande klanten of potentiële klanten, is er meestal altijd een tijdgevoelig doel met de druk om snel de certificering te behalen.
ISO 27001 Ervaring
Onze eerste chauffeur naar ISO 27001 behalen in 2012 was dat een van onze bestaande klanten van ons eiste dat we de betrouwbaarheid van ons informatiebeveiligingsbeheersysteem moesten bewijzen om zaken met ons te kunnen blijven doen. Sindsdien is dit een verhaal dat we keer op keer horen van onze eigen klanten. Lees meer over ons verhaal.
ISMS.online-gebruiker Amigo besefte dat de klanten op ondernemingsniveau die zij aantrekken steeds meer op zoek waren zekerheid van informatiebeveiliging. Met niemand persoon die zich fulltime aan informatie wijdt beveiligingsrol besloten ze het proces zoveel mogelijk te automatiseren en te vereenvoudigen. Ze bereikten een succesvolle, soepele implementatie en succesvolle ISO 27001-audit – met slechts 2-3 weken inspanning voor hun ISO 27001-project – dankzij de enorme voorsprong die ISMS.online hen gaf.
Lees het klantverhaal van Amigo.
Voordeel 2: Voorkomen van boetes en reputatieverlies
Onder de EU Algemene Verordening Gegevensbescherming (AVG), de Informatie Commissaris van de Commissie (ICO) in Groot-Brittannië kan nu boetes uitdelen tot 4% van de jaaromzet van een bedrijf, of € 20 miljoen (afhankelijk van wat het hoogste is) voor de ergste dataovertredingen.
De ICO-staten dat “elke straf die wij opleggen bedoeld is om effectief, evenredig en afschrikkend te zijn, en dat er van geval tot geval zal worden beslist”.
Verbeterde informatiebeveiliging en gegevensbescherming staat veel hoger op de prioriteitenlijst van zowel het grote publiek als bedrijfsleiders.
En de voorpaginanieuws over grote boetes die worden opgelegd als gevolg van aanzienlijke datalekken zal de behoefte aan informatiebeveiligingsbeheer nog verder doen escaleren, waarbij organisaties niet alleen naar hun eigen cyberbeveiliging kijken, maar ook naar de infosec-referenties in hun hele organisatie. supply chains. Dit heeft zelfs gevolgen voor de kleinste bedrijven gegevensverwerking en -verwerking, er is risico.
In juli 2019 kreeg British Airways een boete van £ 183 miljoen opgelegd wegens overtreding van de AVG na een gegevens inbreuk die vorig jaar 500,000 klanten trof, een kost die neerkomt op 1.5% van de jaarlijkse omzet van de luchtvaartmaatschappijen.
Daarna volgt een Een boete van £100 miljoen werd opgelegd aan de internationale hotelgroep Marriott, nadat hackers de gegevens van 339 miljoen gasten hadden gestolen.
Het zijn niet alleen de grotere bedrijven die in overtreding zijn met de ICO. Ook kleinere bedrijven krijgen boetes. Privacyzaken verzamelt gegevens over boetes uit de Algemene Verordening Gegevensbescherming en heeft vastgesteld dat de kleinste boete € 194 bedraagt, die eerder dit jaar werd opgelegd aan een nutsbedrijf in Tsjechië.
Zelfs als een organisatie een kleine boete als deze heeft gekregen, zal dit nog steeds een schadelijk effect hebben op hun bedrijf, omdat ze minder aantrekkelijk zijn voor potentiële klanten.
Dan is het niet verrassend organisaties willen hun informatiebeveiliging versterken houding om een boete te voorkomen. Er moet zorgvuldig worden nagedacht over de impact op de reputatie van bedrijven die negatieve publiciteit hebben gekregen door boetes of zelfs alleen maar waarschuwingen. Dit zal waarschijnlijk de komende jaren een negatief effect hebben op hun winstmarges.
Voordeel 3: Verbetering van processen en strategieën
Naast het verbeteren van de perceptie van uw organisatie door uw klanten, leveranciers en andere belanghebbenden, Voordelen van ISO 27001-certificering de interne systemen, structuur en dagelijkse processen en procedures van uw organisatie.
Dit is inderdaad een van de voordelen van het hebben van een informatiebeveiligingsbeheersysteem zelf.
Een belangrijke aspect van informatiebeveiligingsbeheer zijn operationele procedures en verantwoordelijkheden. Onder de Bijlage A.12 raamwerkzijn er vereisten met betrekking tot de vereiste processen en gedocumenteerde operationele procedures voor veranderings- en capaciteitsbeheer, ontwikkelings- en test- en operationele omgevingen, controles tegen malware en informatieback-up.
Dit biedt een duidelijk raamwerk om over na te denken risico's op het gebied van informatiebeveiliging, beheerprocessen en belangrijke operationele elementen zoals hoe IT-systemen up-to-date moeten worden gehouden, antivirusbescherming, gegevensopslag en back-ups, IT-veranderingsbeheer en logboekregistratie van gebeurtenissen.
De processen Het voldoen aan de ISO 27001-norm resulteert in betere documentatie en betekent dat al het personeel duidelijke richtlijnen moet volgen, wat helpt om de organisatie veilig en vrij van aanvallen te houden. Dit kan beleid omvatten rond het gebruik van externe schijven, veilig internetten en sterke wachtwoorden.
Cyberaanvallen en datalekken kunnen altijd plaatsvinden, maar de toekomstplanning die bij ISO 27001 hoort, laat zien dat u de risico’s hebt geëvalueerd, evenals uw bedrijfscontinuïteit en het rapportageplan schenden als er iets misgaat, waardoor hopelijk de gemaakte kosten worden verlaagd.
ISO 27001 ervaring
ISMS.online-gebruiker, Oldfield Partners, beschrijft hoe zij vóór het gebruik van ISMS.online succes hadden geboekt ISO 27001-implementatie, maar we gebruikten documenten en spreadsheets in verschillende toepassingen die de productiviteit en hun vermogen om hun 'dagelijkse werk' uit te voeren, aantasten. Hun controleren kwam snel dichterbij en ze wilden hun bestaande systemen verbeteren om verbetering aan te tonen op het gebied van best practice informatiebeveiliging, vandaar hun beslissing om een cloudgebaseerd ISMS-platform te gebruiken.
Lees het verhaal van Oldfield Partners.
“We wilden verbeteringen doorvoeren, en wel snel. De ISMS.online-oplossing gaf ons structuur, speciaal gebouwde werkruimtes en tools waarmee we ons ISMS snel konden laten presteren zoals wij dat wilden.”
Andy Roberts, hoofd technologie bij Oldfield Partners LLP.
Voordeel 4: Commerciële, contractuele en wettelijke naleving
Bijlage A.18 van ISO 27001 gaat over de naleving van wettelijke en contractuele eisen. Het doel is om schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen in verband hiermee te voorkomen informatiebeveiliging en eventuele beveiligingseisen.
Een goede controle beschrijft hoe alle relevante wettelijke, regelgevende en contractuele vereisten en de aanpak van de organisatie om aan deze vereisten te voldoen expliciet moeten worden geïdentificeerd. gedocumenteerd en up-to-date gehouden voor elke informatie systeem en de organisatie.
ISMS.online maakt een groot deel van de compliance-kant van informatiebeveiliging aanzienlijk eenvoudiger. De ingebouwde goedkeuringsprocessen en geautomatiseerde herinneringen voor beoordelingen maken het leven veel eenvoudiger en bieden een 'leefplan' om auditors te laten zien dat u de controle heeft over het ISMS.
Een organisatie die de noodzakelijke eisen heeft overwogen en ingevoerd om aan de eisen te voldoen Bijlage A.18 Het raamwerk zal aan alle belanghebbenden kunnen aantonen dat het zijn activiteiten toekomstbestendig heeft gemaakt.
De voordelen van de implementatie van ISO 27001 in uw organisatie zijn duidelijk. Het leidt tot een sterker bedrijfsmodel, een langere levensduur en een managementsysteem voor informatiebeveiliging trots zijn op.
Volgende stappen – Het plannen van de business case voor een managementsysteem voor informatiebeveiliging
De voordelen van ISO 27001 zijn aanzienlijk en wegen ruimschoots op tegen de voordelen kosten van een professioneel informatiemanagementsysteem.
In feite kan de Return on Investment (RoI) veel aantrekkelijker zijn dan de meeste initiatieven voor bedrijfsgroei, vooral als het voortbestaan van een organisatie afhankelijk is van het hebben van een ISMS waarop belanghebbenden kunnen vertrouwen of als het aan regelgeving moet voldoen.
