Akademins hem
Hjälper
Steg som behövs för att vara redo för ISO 27001-certifiering

Detta är en rekommendation om arbetsprioriteringar på Cyberday, när målet är att vara redo för ISO 27001-certifieringsrevisionen.

Alla steg är nödvändiga att ta, så du bör bekanta dig med hela listan. Du kan dock ändra ordningen på vissa steg för att bättre passa dina önskemål (t.ex. beroende på din utgångsnivå).

1. Aktivera ISO 27001-ramverket (2022 eller 2013 års version).

Var du hittar denna vy: Kontrollpanelen -> Rullgardinsmeny för organisationsnamn -> Ramverk -> Redigera ramverk

Om du påbörjar en ny ISO 27001-implementering bör du använda 2022 års standardversion.

Om ditt mål är att vara redo för revision bör du omedelbart börja med det fullständiga ramverket (nivå 3). Vissa användare har velat börja från nivå 1 eller 2 för att först se en begränsad uppsättning uppgifter. Detta är också helt okej, så länge du kommer ihåg att byta till ramverket på nivå 3 när tiden är mogen.

2. Kartlägga startstatus för kritiska, hög- och normalprioriterade uppgifter.

För att få en uppfattning om hur hög din efterlevnad är nu bör du fortsätta med följande saker: 

  • Bjud in användare som du vill tilldela som temaägare
  • Ställ in temaägare
  • Varje temaägare går igenom pågående uppgifter, aktiverar de uppgifter som du har genomfört (åtminstone delvis) och sätter dem till rätt status.

Tips: På så sätt kan du även se den inledande statusen för överensstämmelse från rapporten om överensstämmelse med ISO 27001 (Statement of Applicability).

3. Skapa och tilldela din tillgångsförteckning

De viktigaste datatillgångarna på Cyberday är följande:

  • Datasystem - de programvarutillgångar som används för att behandla och lagra data.
  • Datalagren - olika stora logiska datalagren (t.ex. kunddata vs. personaldata) där data kan lagras i olika format och på olika platser.
  • Datamängder - uppgifter i datasystem eller andra elektroniska/fysiska format som behövs för att utföra vissa uppgifter (t.ex. fakturering, autentisering).
  • Andra tillgångar - t.ex. annan kritisk utrustning, om du har någon.
  • Kontor - dina fysiska lokaler

Nu bör du bjuda in de användare som du vill tilldela olika tillgångar till som "bidragsgivare". Du behöver inte nödvändigtvis skicka ut inbjudningar ännu - användare kan också läggas till i tysthet.

4. Skapa riktlinjer för personalen.

Personalens medvetenhet och vägledning är viktiga delar av din informationssäkerhet.

I det här skedet bör du använda ditt befintliga material eller Cyberday's exempel för att skapa riktlinjer för anställda för olika teman (t.ex. användning av mobila enheter, distansarbete, användning av lösenord, förebyggande av nätfiske). När du har aktiverat några riktlinjer kommer du att se hur dina aktuella riktlinjer ser ut på fliken Guidebook.

Du bör också bestämma om du vill aktivera utbildningstillägg på Cyberday. Du hittar dem på Organisationens instrumentpanel -> Inställningar -> Inställningar för guideböcker.

Vägledningen kommer senare att spridas till hela personalen i ett separat steg. I det här skedet kan du använda processen för guideboken (t.ex. meddelanden) med dina nyckelanvändare för att se hur personalen skulle interagera med Cyberday.

5. Skapa och granska nödvändiga dokument/policyer/rapporter.

Du kan skapa alla nödvändiga dokument, t.ex. för ISO 27001-revisionen i fas 1, från Cyberday's Reporting-section.

De viktigaste dokumenten som behövs i fas 1 av ISO 27001-revisionen är följande:

  • ISMS beskrivning och omfattning
  • Informationssäkerhetspolicy och mål
  • Riskhanteringsförfarande och resultat
  • Tillämplighetsförklaring (SoA)
  • Personalmedvetenhet och vägledningsförfarande
  • Internrevisionsförfarande och resultat
  • Ledningens granskningsprocedur och resultat

Nu är det viktigt att skapa dessa rapporter, granska dem och fylla i de delar som har varningsetiketten "behöver din input". Det är också annars viktigt att bekanta sig med innehållet, även om appen när du arbetar med Cyberday oftast styr ditt arbete så att det stämmer överens med vad som står i dokumenten.

I skärmdumpen nedan kan du se ett exempel på en förklaring om tillämplighet och hur den kan se ut på en revisionsklar nivå. Återigen kan detta variera från organisation till organisation, men i allmänhet bör kartan fyllas i grönt.

6. Fyll i information om uppgiftsgarantin och täta luckor.

Vi rekommenderar att du gör följande: 

  • Se till att uppgifterna berättar rätt om din säkerhetsberedskap, dvs. fyll i information om säkerhet för uppgifterna.
  • Implementera viktiga uppgifter, som inte är aktiverade ännu

Den sistnämnda delen kommer att kräva resurser och tid, så du bör ta hänsyn till prioriteringarna av uppgifterna, eventuella risker och dina egna tidsfrister när du gör detta.

Vid den här tidpunkten kanske du också vill bjuda in fler bidragsgivare till ditt konto, som vet mest om genomförandet av varje uppgift.

7. Börja arbeta med riskhantering.

När du har genomfört de tidigare stegen har du skapat en bra grund för en effektiv och framgångsrik riskhantering.

Nu är det dags att gå till Organization dashboard -> Riskhantering och ledarskap -> Cybersäkerhetsrisker och påbörja arbetet där.

Du borde vara:

  • granska riskförteckningen och vid behov justera utvärderingarna
  • lägga till anpassade uppgifter/kontroller som kontrollerar vissa risker men som saknas i ditt ISMS.
  • kö för behandling av de största riskerna

8. Se till att du har implementerat ISO 27001 specialiteter

Uppgifter som är kopplade till obligatoriska krav i ISO 27001 (i stället för kontroller i ISO 27002) är sådana som kommer att leda till stora avvikelser under certifieringsrevisionen om de inte genomförs på rätt sätt.

Exempel på denna typ av ämnen är t.ex. internrevisioner och ledningsgranskningar. Du måste ha genomfört och dokumenterat resultaten av minst en av dem och även ha ett förfarandedokument som tydligt definierar ditt tillvägagångssätt.

Andra exempel på vanliga avvikelser vid ISO 27001-certifieringsrevisioner är: 

  • Otillräcklig riskhantering - t.ex. att kopplingen mellan riskbedömning och riskhantering är bruten (6.1).
  • Saknar en förteckning över krav på informationssäkerhet - du måste ange t.ex. kundkrav, annan nationell lagstiftning, andra standarder som följs utöver ISO 27001 (A.18.1.1).
  • Användarnas åtkomsträttigheter har inte granskats (A.9.2.5).
  • Inventeringen av tillgångarna är inte korrekt dokumenterad (A.8.1.1).

9. Använd Cyberday för din personal

För att få igång processen för att öka medvetenheten hos de anställda måste du distribuera appen Cyberday till alla anställda.

Detta kan enkelt göras med hjälp av våra Teams- eller Slack-integrationer.

När du har skapat en policy för appinställning körs din vägledning för anställda automatiskt för alla i Teams-hyresgästen.

10. Slutför din beredskap för ISO 27001-revision

För att inleda samarbetet med en revisor måste du ta ett par steg för att dela innehåll för dem.

Vi rekommenderar som standard att du bjuder in revisorn till ditt ISMS som en extern användare och begränsar deras åtkomst till "bidragsnivå".

På så sätt kan du dela med dig av de rapporter som revisorn behöver och visa dem direkt till det innehåll de behöver. Du kan också använda bredare åtkomsträttigheter för revisorn (t.ex. Core Team), men det är oftast varken nödvändigt eller användbart, det är för mycket information.

Du kan läsa den här hjälpartikeln om hur du delar rapporter till revisorer direkt via Teams.

Du är välkommen att be om mer vägledning från oss!

Den här artikeln ska ge dig en översikt över de viktigaste stegen för att bli ISO 27001-certifieringsklar med hjälp av Cyberday.

Detta är dock bara en översikt, som kan anpassas till dina önskemål. Vårt team är redo och glada att hjälpa dig ytterligare. Boka ett 45-minutersmöte med oss för att höra mer!

Innehåll

Dela artikel