Je nieuwe spel ISO 27001 uitpakken

Door Al Robertson • 4 januari 2021

Allereerst een gelukkig nieuwjaar! Wij hopen dat uw jaar goed is begonnen en wensen u het allerbeste voor de rest. We hebben zeker een interessante tijd gehad bij het uitpakken van 2021. En dat zette ons aan het denken over het uitpakken van games, wat ons terugvoerde naar onze favoriete manier van denken over ISO 27001 .

Het behalen van ISO 27001 naleving of certificering is eigenlijk hetzelfde als het spelen van Snakes and Ladders (of Chutes and Ladders als je uit de VS komt, of Moksha Patam als je een van de oude Indiase uitvinders van het spel bent).

Er is een landschap dat je moet doorkruisen en regels die je moet volgen. Tot op zekere hoogte kun je op je eigen snelheid bewegen. Als je weet waar de ladders zijn, kun je naar het einde rennen. Als je een slang raakt, ga je achteruit. En je zult waarschijnlijk steeds opnieuw spelen.

Maar er is een heel belangrijk onderdeel van het spel waar we het nooit echt over hebben gehad: het opzetten ervan. Als je niet goed begint, wordt de rest van de reis immers veel moeilijker.

Lees altijd de instructies

Dat is een vrij voor de hand liggend uitgangspunt, maar niet iedereen doet het. Veel organisaties duiken meteen in ISO 27001 zonder de hele norm te lezen. Ze hebben de neiging om in de managementclausules te duiken zonder na te denken over de strategie en de infrastructuurstappen.

Dat is hetzelfde als beginnen met het spelen van een bordspel terwijl je nog maar enkele regels hebt gelezen.

Je kunt je voorstellen hoe het afloopt.

We raden u daarom aan om uw eigen exemplaar van ISO 27001 te kopen en deze, voordat u iets anders doet, helemaal door te lezen. Je moet ook het volgende vastleggen:

ISO 27002 , waarin in detail de controles van bijlage A worden uitgelegd waar ISO 27001 alleen op ingaat. Als je dat niet hebt ISO 27002 , het is gemakkelijk om ze verkeerd te begrijpen. Dat kan veel tijd en moeite verspillen.
ISO 27003 , waarin de artikelen vier tot en met tien van ISO 27001 worden uitgewerkt. Nogmaals, als u deze niet heeft, kunt u merken dat u de norm verkeerd begrijpt en in een slang of twee valt.

Als je voor ons hebt gekozen, moet je nog steeds de regels lezen, maar je krijgt veel extra hulp bij het begrijpen ervan. Ons platform wordt vooraf geladen met uitleg over elke afzonderlijke ISO 27001-vereiste, plus Adopt, Adapt, Add Content om u te laten zien hoe u hieraan kunt voldoen.

Zet het bord op

De opzetfase is een groot onderdeel van het spelen van elk bordspel. Je moet alles eruit halen, alle tellers opzetten, ervoor zorgen dat je de juiste dobbelstenen hebt en heel vaak nog een heleboel andere dingen.

En het gaat niet alleen om het spel zelf. Doorgewinterde gamers weten dat het belangrijk is om de juiste snacks en drankjes bij de hand te hebben. Misschien moet je wat klapstoelen uitgraven om al je spelers plaats te bieden en ervoor te zorgen dat iedereen genoeg tijd heeft om te blijven hangen en het spel te spelen.

Ook voor ISO 27001 is een goede configuratie erg belangrijk. Eigenlijk is het bijna een project op zich. Je moet:

Zorg voor de buy-in van het management, want dit is absoluut essentieel voor het succes van uw ISMS en de resultaten ervan naleving of certificering
Zorg ervoor dat u het juiste budgetniveau hebt afgesproken, want als u niet in uw ISMS investeert, komt het nooit van de grond
Reserveer de juiste hoeveelheid tijd, zodat u vrij bent om alle gerichte inspanningen te leveren die ISO 27001 nodig heeft

Wij weten hoe belangrijk de juiste opstelling is. Zodat u zich kunt voorbereiden op uw ISMS project is een groot deel van wat we voor u gaan doen. Daarom nemen wij onze nieuwe klanten mee door een reeks implementatiegesprekken met onze ondersteuningsteam om ze zo goed mogelijk van start te laten gaan.

Vind de juiste spelers

Heb je ooit geprobeerd Snakes and Ladders in je eentje te spelen? Het was waarschijnlijk niet zo leuk. Zelfs als je een competitief spel speelt, moet je de juiste mensen vinden om met je te spelen. Een ISO 27001-project is iets meer collaboratief, maar het principe geldt nog steeds.

Allereerst moet je uitzoeken wie er nog meer deel zal uitmaken van het spel. Natuurlijk is er uw projectteam. Je hebt ze waarschijnlijk al in elkaar gezet. Vervolgens moet u naar de rest van uw organisatie kijken en zien wie de hulp nodig heeft.

De standaard zegt namelijk niet direct dat u met andere afdelingen binnen uw organisatie moet gaan praten, maar u wordt wel gevraagd dingen te doen die binnen hun bevoegdheid vallen.

Bijvoorbeeld:

Controle bijlage A.7.1.1 vereist dat u een relevante screening van nieuwe medewerkers uitvoert. Dat is waarschijnlijk iets waar alleen uw HR-mensen u mee kunnen helpen.
Misschien hebt u belangrijke organisatorische functies, zoals IT, uitbesteed. Als dat het geval is, moet je iedereen die ze levert ook in het spel betrekken.

Het behalen van ISO 27001 betekent samenwerken met veel verschillende mensen en groepen. Daarom hebben we ervoor gezorgd dat samenwerking centraal staat. ons platform. Het maakt discussie gemakkelijk, en het helpt je om doelen voor hen te stellen en hun voortgang in de gaten te houden.

Kies de juiste strategie

Om de een of andere reden hoor ik steeds de uitdrukking ‘als je niet plant, ben je van plan te falen’. Er moet iets in de lucht zitten. Hoe dan ook, het is handig dat het er is, want het is erg relevant als je Snakes and Ladders speelt, of zelfs een ander bordspel.

En dat betekent dat het ook zeer relevant is voor ISO 27001.

ISO 27001 is een norm met een zeer open einde, waar geen vaste weg doorheen is. Als je zonder plan begint, zul je waarschijnlijk verdwalen (net als het personage van Robin Williams in 'Jumanji', die uiteindelijk vast komt te zitten in een eindeloos bordspel). We hebben het bij veel organisaties zien gebeuren.

We raden u daarom aan een duidelijk gedefinieerde ISO 27001-strategie te creëren die u helpt een duidelijk pad naar een duidelijk gedefinieerde bestemming te volgen. Begin niet aan de standaard te werken totdat u weet:

Hoe uw eindbestemming eruit ziet
Hoe ga je daar komen
Wie of wat je onderweg tegenkomt

Verschillende soorten gidsen zijn gespecialiseerd in verschillende delen van de wereld ISO 27001 Slangen en ladders bord. Onze beproefde Methode voor gegarandeerde resultaten begeleidt u er helemaal doorheen, vanaf uw eerste opstartvergadering tot de eerste keer dat u aan compliance voldoet certificaat.

Nu ben je klaar om te spelen

Dus dat is wat het spelen van Snakes and Ladders ons heeft laten zien over het opstarten van een ISO 27001-project. Als je erover denkt om er een te gaan doen, hopen we dat dit je heeft geholpen om je wat zelfverzekerder te voelen. Zoals mijn vader (een fervente Scrabble-speler) immers altijd zegt:

De tijd die aan de voorbereiding wordt besteed, is nooit verspilde tijd

Maar nu zijn we voorbereid! Dus in onze volgende post nemen we je mee door de vijf belangrijkste ladders die je moet beklimmen als je het ISO 27001-bord oversteekt...

Al Robertson

Al is een professionele schrijver en gepubliceerde auteur die een scala aan onderwerpen behandelt. Hij heeft een reeks artikelen geschreven over compliance en vooral over informatiebeveiliging en hoe ISO 27001-certificering organisaties kan helpen groeien.

Lees meer van Al Robertson

ISO 27001 27 May 2021

Hoe u uw ISO 27001-certificering behoudt

Zelfs met de beste hulp en ondersteuning die beschikbaar is, is het behalen van ISO 27001-certificering een uitdagend proces. Het kost tijd, moeite en echte organisatie.

Al Robertson

ISO 27001 19 May 2021

Pleiten voor een ISO 27001-gecertificeerd ISMS

Hoe de Colonial Pipeline-hack pleit voor ISO 27001

We hebben het al kort gehad over de Colonial Pipeline-hack van vorige week. Het is een van de meest impactvolle losgeldaanvallen ooit. Zelfs de hackers, ...

Al Robertson

Informatiebeveiliging 7 May 2021

Maak kennis met Luke Dash, onze nieuwe Chief Revenue Officer

De juiste oplossing voor een probleem is pas echt nuttig als de juiste mensen weten dat je die hebt en begrijpen hoe het hen kan helpen. Dat is iets...

Al Robertson