5 toptips voor het behalen van ISO 27001-certificering
Volg het pad dat is uitgezet door Sam Peters, ons hoofd Producten en Diensten, voor een eenvoudige reis naar certificeringssucces.
Begin altijd met een plan
Het ISO 27001-certificeringsproces kan behoorlijk complex en uitdagend zijn. Je moet een heleboel borden draaiende houden. Voordat u begint, heeft u dus een implementatieplan nodig dat u door alles heen loodst. Stel jezelf vragen als: Hoe implementeren wij ISO 27001?? Waar moeten we in elke fase van het proces aan denken? auditproces? Hoe zal onze werklast zijn en wanneer willen we dit bereiken? Je moet een goed idee hebben van wat je wilt en moet bereiken voor, tijdens en zelfs na certificering.
Beschouw het als een oefening voor bedrijfsverbetering
Er is veel om mee te nemen ISO 27001 . Door het te zien als een oefening voor bedrijfsverbetering, in plaats van alleen maar een heleboel vakjes aan te vinken, kun je alles in je opnemen en ermee aan de slag gaan. Het kan je helpen creëren bedrijfsprocessen en benaderingen op meer gestructureerde, doordachte manieren. We hebben hierdoor enorme verbeteringen in ons eigen bedrijf gezien. Je zult er niet zoveel uit halen als je insteek is: 'Ik doe dit alleen om hieraan te voldoen.' eisen van de normen'.
Neem uw organisatie mee
Iedereen moet uw mening begrijpen en volgen infosec-beleid en controles. De mensen van uw organisatie vormen de grootste kracht op het gebied van beveiliging. Maar alleen als je ze uitrust met alles wat ze nodig hebben competent en capabel. En je hebt de buy-in van leiderschap nodig, het is een belangrijk onderdeel van de standaard. In feite is het een gecontroleerd onderdeel van de standaard.
Uw beleid en controles mogen dus niet te technisch zijn. Ze moeten mensen die geen idee hebben van de technische zaken vertellen wat ze moeten doen en waarom het zo belangrijk is. En uw senior managers moeten zich er allemaal mee bezighouden en alles aftekenen. Hoe gemakkelijker u het te volgen maakt, hoe groter de kans dat u hieraan voldoet, zowel intern als via het certificeringsproces.
Deel de juiste informatie met de juiste mensen
In eerste instantie vroegen we al het personeel om elk beleid en elke controle door te lezen. Dat is veel lezen! En dan vraag je ze om uit te zoeken wat voor hen belangrijk is. Dus in de loop van de tijd hebben we dat verfijnd. We vragen mensen alleen het beleid en de controles te lezen die relevant zijn voor hun rol. Je vraagt mensen dus alleen om op te nemen wat voor hen relevant is, wat ze eigenlijk moeten weten en waarnaar ze moeten handelen. Ik denk dat dat heel belangrijk is. Oh, en natuurlijk kunnen ze de rest ervan nog steeds lezen als ze dat willen.
Vergeet niet dat het allemaal om risico's gaat
ISO 27001 is een risicogebaseerde norm. Dat verlies je gemakkelijk uit het oog als je diep in de certificering zit. Alles wat u doet, moet dus het risico beperken waarmee uw organisatie wordt geconfronteerd. Soms kun je het ook andersom doen en denk je: “Ik moet deze controle implementeren, want dat is wat de norm zegt”. Maar de norm zegt dit alleen vanwege een reëel risico. U vinkt geen denkbeeldige vakjes aan, u beschermt feitelijk uw organisatie. Dus soms zal het beginnen met de risico's en het terugwerken ervan je helpen om er op een meer constructieve manier over na te denken.
Sam Peters – Hoofd Producten en Diensten
Een van de langstzittende leden van de ISMS.online team heeft Sam bijna twintig jaar ervaring met het op de markt brengen van SaaS-oplossingen. Voordat hij zich specialiseerde in informatiebeveiligingSam bekleedde digitale functies in zowel de publieke als de private sector, waar hij werkte in de financiële wereld, het onderwijs en de rechtshandhaving. In de weinige vrije tijd die hij heeft, houdt Sam van fietsen en brengt hij tijd door met zijn jonge gezin.
