Dette er en anbefaling af arbejdsprioriteterne på Cyberday, når målet er at være klar til ISO 27001-certificeringsaudit.
Alle trin er nødvendige at tage, så du bør gøre dig bekendt med den fulde liste. Du kan dog ændre rækkefølgen af nogle af dem, så de passer bedre til dine præferencer (f.eks. afhængigt af dit indledende overensstemmelsesniveau).
1. Aktiver ISO 27001-rammen (2022 eller 2013-version)
Hvor finder man denne visning? Dashboard -> dropdown for organisationsnavn -> Frameworks -> Rediger frameworks
Hvis du starter en ny ISO 27001-implementering, bør du bruge 2022-versionen af standarden.
Hvis dit mål er at være revisionsklar, bør du straks begynde med den fuldstændige ramme (niveau 3). Nogle brugere har ønsket at starte fra niveau 1 eller 2 for først at se et begrænset sæt opgaver. Det er også helt fint, så længe du husker at skifte til niveau 3-rammen, når tiden er inde.
2. Kortlægning af startstatus for kritiske, højt og normalt prioriterede opgaver
For at få en idé om, hvor høj din overholdelse er nu, bør du fortsætte med følgende ting:
- Inviter de brugere, du vil tildele som temaejere
- Indstil tema ejere
- Hver temaejer gennemgår de udestående opgaver, aktiverer dem, som du har implementeret (i det mindste delvist), og sætter dem til den korrekte status
Tip: Dette vil gøre det muligt for dig også at se den indledende overensstemmelsesstatus fra ISO 27001-overensstemmelsesrapporten (Statement of Applicability).
3. Opret og tildel din aktivopgørelse
De vigtigste dataaktiver i Cyberday er følgende:
- Datasystemer - de softwareaktiver, der anvendes til behandling og lagring af data
- Datalagre - forskellige store logiske datalagre (f.eks. kundedata vs. personaledata), hvor data kan lagres i flere forskellige formater og steder
- Datasæt - data enten i datasystemer eller andre elektroniske/fysiske formater, der er nødvendige for at udføre en bestemt opgave (f.eks. fakturering, autentificering)
- Andre aktiver - f.eks. andet kritisk udstyr, hvis du har noget
- Kontorer - dine fysiske lokaler
På dette tidspunkt skal du invitere de brugere som "bidragydere", som du ønsker at tildele forskellige aktiver til. Du behøver ikke nødvendigvis at sende invitationer ud endnu - brugere kan også tilføjes stille og roligt.
4. Opret personaleretningslinjer
Personalets bevidsthed og vejledning er en vigtig del af din informationssikkerhed.
På dette tidspunkt bør du bruge dine eksisterende materialer eller Cyberday's eksempler til at udarbejde retningslinjer for medarbejderne om forskellige temaer (f.eks. brug af mobile enheder, fjernarbejde, brug af adgangskoder, forebyggelse af phishing). Når du har aktiveret nogle retningslinjer, kan du se udseendet af dine nuværende retningslinjer under fanen Guidebook (Vejledning).
Du skal også beslutte, om du vil aktivere uddannelsesudvidelser i Cyberday. Du kan finde disse på organisationens dashboard -> Indstillinger -> Indstillinger for vejledninger.
Vejledningen vil senere blive uddelt til hele personalet i et særskilt trin. På dette tidspunkt kan du gennemgå Guidebook-processen (f.eks. notifikationer) med dine nøglebrugere for at se, hvordan dine medarbejdere vil interagere med Cyberday.
5. Udarbejdelse og gennemgang af nødvendige dokumenter/politikker/rapporter
Du kan oprette alle de nødvendige dokumenter til f.eks. fase 1 ISO 27001-audit fra Cyberday's Rapporteringssektion.
De vigtigste dokumenter, der er nødvendige i fase 1 ISO 27001-audit, er følgende:
- Beskrivelse og anvendelsesområde for ISMS
- Informationssikkerhedspolitik og -målsætninger
- Risikostyringsprocedure og resultater
- Erklæring om anvendelighed (SoA)
- Personaleoplysning og vejledningsprocedure
- Procedure og resultater af den interne revision
- Procedure og resultater af forvaltningsrevisionen
På dette tidspunkt er det vigtigste at oprette disse rapporter, gennemgå dem og udfylde de dele, der har advarselsetiketten "har brug for dit input". Det er også ellers vigtigt at sætte sig ind i indholdet, selv om appen, når du arbejder med Cyberday, for det meste guider dit arbejde, så det stemmer overens med det, der står i dokumenterne.
I skærmbilledet nedenfor kan du se et eksempel på en erklæring om anvendelighed, og hvordan den kan se ud på et revisionsklart niveau. Igen kan dette variere fra organisation til organisation, men generelt bør kortet være udfyldt med grønt.
6. Udfyld oplysninger om opgavesikring og luk huller
På dette tidspunkt anbefaler vi, at du gør følgende:
- Sikring af, at opgaverne fortæller den korrekte historie om dit sikkerhedsberedskab, dvs. at udfylde oplysninger om sikkerhed for opgaverne
- Gennemførelse af vigtige opgaver, som endnu ikke er aktiveret
Sidstnævnte del vil kræve en del ressourcer og tid, så du bør tage hensyn til opgaveprioriteringer, mulige opfattede risici og dine egne tidsfrister, mens du gør dette.
På dette tidspunkt kan du også invitere flere bidragydere til din konto, som har mest viden om gennemførelsen af hver enkelt opgave.
7. Begynd at arbejde med risikostyring
Når du har gennemført de foregående trin, har du skabt dig et godt grundlag for effektiv og vellykket risikostyring.
Nu er det tid til at gå til Organization dashboard -> Risk management and leadership -> Cyber security risks og starte arbejdet der.
Det bør du være:
- gennemgang af risikolisten og justering af vurderingerne om nødvendigt
- tilføjelse af brugerdefinerede opgaver/kontroller, som kontrollerer nogle risici, men som mangler i dit ISMS
- kø til behandling af de største risici
8. Sørg for, at du har implementeret ISO 27001-specialiteter
Opgaver, der er knyttet til obligatoriske krav i ISO 27001 (i stedet for kontroller i ISO 27002), er opgaver, der vil resultere i større afvigelser under certificeringsrevisionen, hvis de ikke gennemføres korrekt.
Eksempler på denne type emner er f.eks. interne revisioner og ledelsesundersøgelser. Du skal have gennemført og dokumenteret resultaterne af mindst én af dem og også have et proceduredokument, der klart definerer din fremgangsmåde.
Andre eksempler på almindelige afvigelser i ISO 27001-certificeringsrevisioner omfatter:
- Utilstrækkelig risikobehandling - f.eks. er forbindelsen mellem risikovurdering og risikobehandling brudt (6.1)
- Manglende liste over krav til informationssikkerhed - du skal f.eks. opregne kundekrav, andre nationale lovgivninger, andre standarder, der følges ud over ISO 27001 (A.18.1.1.1)
- Brugernes adgangsrettigheder er ikke gennemgået (A.9.2.5)
- Opgørelse af aktiver ikke korrekt dokumenteret (A.8.1.1)
9. Udrul Cyberday til dit personale
For at få implementeret medarbejdernes bevidstgørelsesprocesser skal du distribuere appen Cyberday til alle medarbejdere.
Dette kan nemt gøres ved hjælp af vores Teams- eller Slack-integrationer.
Når du har oprettet en politik for appopsætning, kører din medarbejdervejledning automatisk for alle på din Teams-lejer.
10. Færdiggør din ISO 27001-auditberedskab
For at starte samarbejdet med en revisor skal du endelig tage et par skridt for at dele indhold for dem.
Vi anbefaler som standard at invitere auditoren til dit ISMS som en ekstern bruger og begrænse deres adgang til "bidragyder"-niveau.
På den måde kan du dele de rapporter, som revisorerne har brug for, og henvise dem direkte til det indhold, de har brug for. Du kan også bruge bredere adgangsrettigheder til revisoren (f.eks. Core Team), men det er normalt hverken nødvendigt eller nyttigt, det er bare for mange oplysninger.
Du kan læse denne hjælpeartikel om deling af rapporter til revisorer direkte via Teams.
Du er velkommen til at spørge os om mere vejledning!
Denne artikel skal give dig et overblik over de vigtigste trin til at blive klar til ISO 27001-certificering ved hjælp af Cyberday.
Dette er dog kun en oversigt, som kan tilpasses til dine præferencer. Vores team er klar til at hjælpe dig yderligere. Book et 45-minutters møde med os for at høre mere!