Als u overweegt een ISO 27001 documenttoolkit, lees dit eerst. 2011 was een jaar waarin er heel veel gebeurde. Een koninklijk huwelijk, een Arabische lente, de dood van Amy Winehouse (samen met vele andere opmerkelijke personages) en een aantal verschrikkelijke aardbevingen over de hele wereld. We hadden ook onze eerste aardbeving in Alliantistisch ook (relatief gezien was het een nare schok); een noodzaak om ISO 27001 te behalen. En dit te bereiken met een onafhankelijke UKAS-certificering om onze belangrijkste klant tevreden te stellen. Dus knikten we naar de klant en gingen op zoek naar wat er aan de hand was. De trillingen hielden daarna nog enige tijd aan.
In dat stadium (vele jaren voordat we ISMS.online ontwikkelden) hadden we letterlijk geen idee wat een informatiebeveiligingsmanagementsysteem (ISMS) was en wisten we niets van ISO 27001. De betrokken klant was dol op onze gespecialiseerde pam veilige cloudsoftwareservice en vertelde ons dat het ISO 27001-beheersysteem voor informatiebeveiliging standaard werd noodzakelijk omdat ze ons platform als essentieel beschouwden voor het delen van gevoeligere informatie dan voorheen.
We hebben gedaan wat de meeste mensen doen als ze iets moeten onderzoeken; zoek online. We moesten ook hopen dat er een snelle implementatie van de ISO 27001-implementatie beschikbaar zou zijn tegen een prijs die we ons konden veroorloven, omdat de kosten niet waren meegerekend in de overeenkomst die met de klant werd gesloten, en we moesten het vrij snel doen. Wie maakt tenslotte een budget voor een beheersysteem voor informatiebeveiliging als hij niet begrijpt wat erbij komt kijken?
Vroege zoektochten brachten ons tot het inzicht dat het hebben van ISO 27001-documentatie belangrijk was. Dat leidde tot zoekopdrachten naar gratis ISO 27001-documentatiesjablonen, gratis ISO 27001-tools en ISO 27001-documenttoolkits, samen met toolkits voor gegevensbescherming. En we hebben ook de betaalde dingen bekeken, zoals we allemaal weten: gratis is in de praktijk zelden het geval. Het internet en dit onderwerp hebben de afgelopen acht jaar duidelijk hun intrede gedaan, en dat geldt ook voor regelgeving met zaken als de AVG, wat betekent dat informatiebeveiligingsbeheer nu nog belangrijker is voor iedereen, niet alleen voor de goed opgeleide klant. Het is nu gemakkelijk om te lachen om onze naïviteit, maar als gevolg van de marketing en ons gebrek aan kennis waren we verslaafd aan de aanvankelijke aantrekkingskracht van ISO 8-documenttoolkits als 'de snelle oplossing' om onze onafhankelijke ISO-certificering te verkrijgen.
Dus kochten we een 'uitgebreide toolkit' van een bekende leverancier van informatiebeveiligingsbeheer en dachten dat we er goed aan hadden gedaan om slechts ongeveer £ 1,000 uit te geven. Vervolgens kochten we de ISO 27001- en ISO 27002-normen, die elk ongeveer £ 100 kosten. Die laatste beslissing was om vele redenen cruciaal voor ons, niet in de laatste plaats omdat we de standaardstructuur en de nummering begrepen en veel duidelijker waren over wat alle verwachtingen waren.
De toolkits bleken een slechte reikwijdte te zijn van standaard Excel- en Word-documenten met ouderwetse versiecontrolemechanismen en geen duidelijkheid over wat we vervolgens moesten doen. Kunnen we die ISO 27001-sjablonen gewoon aanpassen, die in een Google Drive of SharePoint-site dumpen en de externe auditor laten zien dat we klaar zijn voor onze fase 1-audit? Niet helemaal. We hebben veel tijd verspild met het uitzoeken daarvan. De opportuniteitskosten van ons adviesdagtarief werden aanzienlijk en we waren geen stap dichter bij het doel van een gecertificeerd ISMS waarop onze klant kon vertrouwen.
Bij nader inzien is het analoog aan de aanschaf van een paraplu voor het oplossen van een aardbevingsrisico; een mogelijk nuttige aanwinst, maar lang niet genoeg, en je had dat geld effectiever kunnen besteden. Misschien is het zelfs een risico als je ook nog eens door de puntige paraplu in je oog zou worden gestoken terwijl je niet zeker wist wat je ermee moest doen tijdens de aardbeving... Ik ga uiteraard de analogieën door en meng mijn metaforen een beetje ver. Het letterlijke punt is dat ISO 27001-documentatie op zichzelf niet voldoende is en de experts op het gebied van de ISO-normen hebben duidelijk verklaard dat een 'managementsysteem' het belangrijkste is om te bereiken.
Download uw gratis gids voor snelle en duurzame certificering
We hebben slechts een paar gegevens nodig, zodat we u per e-mail uw handleiding kunnen sturen voor het voor de eerste keer behalen van ISO 27001
Download nu uw gratis gids en als u vragen heeft, neem dan contact met ons op Boek een demo or Ons Contacten. We helpen je graag verder.
Ons ISMS wordt vooraf geconfigureerd geleverd met tools, raamwerken en documentatie die u kunt overnemen, aanpassen of toevoegen. Eenvoudig.
Onze Assured Results-methode is ontworpen om u bij uw eerste poging te laten certificeren. 100% succespercentage.
Vergeet tijdrovende en dure trainingen. Onze Virtual Coach-videoserie is 24/7 beschikbaar om u te begeleiden.
Gaat het concept van 'toolkit' en ISO 27001-tools te ver als je alleen maar een heleboel documenten en spreadsheets krijgt? Misschien wel, ook al noemt Wikipedia spreadsheets als voorbeeld van een tool! Dan is er nog de 'toolkit' en de 'toolbox' zelf, die voor verschillende mensen verschillende dingen betekenen.
Stel je dit eens voor voor je gereedschap en gereedschapskist: ziet er aantrekkelijk uit, maar zal waarschijnlijk niet goed werken, tenzij je ongeveer vier jaar oud bent.
In tegenstelling tot dit voor uw tools en toolkit: uitgebreid, nou ja georganiseerd en snel om te vinden wat u nodig heeft wanneer jij dat wilt en ook eenvoudig te gebruiken door onervaren professionals. Maar het kan ook veel meer kosten en niet zijn wat je echt nodig hebt.
In werkelijkheid wanneer informatiebeveiliging e-commercesites en consultants praten over toolkits, wat ze eigenlijk bedoelen is ISO 27001-documentatie. De daadwerkelijke inhoudskwaliteit, reikwijdte en begeleiding daarbij kan variëren van:
Geen van deze behaalt op zichzelf het succes van ISO 27001, noch creëren ze per se een managementsysteem voor informatiebeveiliging.
ISMS.online bespaart u tijd en geld bij het behalen van de ISO 27001-certificering en maakt het eenvoudig te onderhouden.
Informatiebeveiligingsmanager, Honeysuckle Health
Om ISO 27001 te behalen en een onafhankelijke certificering te verkrijgen, is er behoefte aan het beschrijven en demonstreren van documentatie (inhoud) die in de praktijk werkt voor ongeveer 140 specifieke activiteiten. Daar hoort ook de voorbereiding, vergadering bij Clausules van de kernvereisten van ISO 27001 en de aanpak van de controles uit bijlage A. Het hebben van de documentatie is dus één ding, aantonen dat het relevant is voor uw organisatie en dat u het managementsysteem in de praktijk naleeft is iets anders.
Het is daarom belangrijk om goed te kwalificeren wat er precies in een documentatietoolkit zit. Je wilt geen gedeeltelijke Bob de Bouwer-gereedschapskist krijgen die kwalitatief geschikt is voor een vierjarige gebruiker, terwijl je eigenlijk de uitgebreide Snap-on-gereedschapsset voor volwassenen was. En waarom zou u een uitgebreide gereedschapsset kopen als u al de equivalenten voor moersleutels en hamers heeft? In de praktijk beginnen maar heel weinig organisaties hun implementatie vanaf nul. We hebben een ISO 27001-implementatieaanpak ontwikkeld, genaamd ARM; de Methode voor gegarandeerde resultaten. Het helpt organisaties de norm te bereiken door voort te bouwen op wat ze al hebben en door pragmatisch te zijn in hun benadering van ISO 27001-certificering.
Het hangt af van de kwaliteit en omvang van wat u heeft aangeschaft en wat u nog meer nodig heeft om uw ISO 27001-managementsysteem te kunnen bedienen en beheren. U wilt de documentatie en tools eenvoudig overnemen, aanpassen en toevoegen om deze relevant te maken voor de gewenste manier van werken van uw organisatie.
Met de kracht en betaalbaarheid van technologie wil je een digitale oplossing hebben managementsysteem om te helpen bij de coördinatie en controle uw documentatie, waaruit blijkt dat u deze regelmatig controleert en alle relevante vereisten en controles 'leeft en ademt' op de manier zoals de norm dat verwacht. Hoewel er veel verschillende manieren zijn om dat te doen, hebben we geïdentificeerd wat volgens ons de beste is belangrijkste kenmerken van ISMS-software.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
ISO 27001-documentatie is belangrijk, en zoals hierboven opgemerkt, waarschijnlijk het eerste waar mensen zelfs vandaag de dag naar zoeken als ze nieuw zijn met de norm. Veel vragen die we vandaag ontvangen voor ISMS.online beginnen met de opmerking “we hebben onlangs een documenttoolkit aangeschaft, maar beseffen nu dat dit niet was wat we dachten dat het was...” Helaas zullen de meeste van deze organisaties, net als wij, vrijwel zeker £500-1500 en hun tijd hebben verspild om die positie te bereiken.
Het is heel belangrijk dat je niet alleen de inhoud beschrijft, maar dat ook laat zien beleid en controle documentatie die u gebruikt, die duidelijk blijkt uit het operationele gebruik ervan. Bijvoorbeeld als uw Volgens het beleid gebruikt u tweefactorauthenticatie en beschikt u over systemen beheerdersmachtigingen, zorg ervoor dat u deze in de praktijk aan een auditor kunt laten zien.
U kunt niet zomaar een methodologie voor risicobeheer in een op zichzelf staand document hebben, u moet in de praktijk regelmatig risico's identificeren en beheren. Als het volgen van dat beleid in de praktijk moeilijk is of niet zal gebeuren omdat het beleid of de tool onhandig is, moeten uw certificeringsinspanningen zal mislukken. Daarom kunnen documentatietoolkits een aanwinst of een verplichting zijn, afhankelijk van wat u koopt, waar u het vandaan haalt en hoe u het gebruikt. Waarschuwing emptor!
We hebben lang en hard nagedacht over het niveau en de reikwijdte van de aanvullende documentatie die ISMS.online moet bieden, voor degenen die een voorsprong willen. Uiteindelijk zijn we tot de conclusie gekomen dat we met de hand op ons hart kunnen helpen organisaties met tot 77% vooruitgang op al hun vereisten en controledocumentatie vanaf het moment dat ze inloggen, waarbij ons materiaal zo gemakkelijk te adopteren, aan te passen en toe te voegen is in vergelijking met anderen. Het vermindert de bestede tijd aanzienlijk en bespaart enorm veel geld. Uit feedback van klanten blijkt dat dit het meest uitgebreide pakket materialen is dat er is, vooral als het wordt aangevuld met onze Virtual Coach-service en ARM, die de implementatie van ISO 27001 helpen versnellen.
Nog belangrijker is dat we ervoor hebben gezorgd dat alle inhoud praktische en bruikbare documentatie vormt binnen het ISMS.online-beheersysteem. Je hebt tenslotte een managementsysteem voor informatiebeveiliging nodig om ISO 27001 te behalen en een documenttoolkit is gewoon niet genoeg, hoe goed die ook is. We hebben dat vele jaren geleden tegen aanzienlijke kosten ontdekt, en het is jammer dat anderen nog steeds in de kloven vallen (terug naar die aardbeving;), maar nu ISMS.online beschikbaar is, hoef jij niet een van hen te zijn.
Boek een hands-on sessie op maat op basis van uw behoeften en doelen.