Krav til opnåelse af ISO 27001-certificering

Selvom ISO 27001 er bygget op omkring implementering af informationssikkerhedskontrol, er ingen af dem universelt obligatoriske for overholdelse.

Det skyldes, at standarden anerkender, at enhver organisation vil have sine egne krav, når de udvikler et ISMS, og at ikke alle kontroller vil være passende.

I stedet kræves det, at organisationer udfører aktiviteter, der informerer deres beslutninger om, hvilke kontroller de skal gennemføre. I denne blog forklarer vi, hvad disse processer indebærer, og hvordan du kan gennemføre dem.

Obligatoriske certificeringskrav

De to vigtigste aktiviteter ved implementering af ISO 27001 er:

  • Omfang af dit ISMS (punkt 4.3), hvor du definerer, hvilke oplysninger der skal beskyttes; og
  • Gennemførelse af en risikovurdering og definition af en risikobehandlingsmetode (afsnit 6.12), hvor du identificerer truslerne mod dine oplysninger.

Organisationer skal også udfylde følgende obligatoriske klausuler:

  • Informationssikkerhedspolitik og -mål (klausul 5.2 og 6.2)
  • Behandlingsproces med informationsrisiko (klausul 6.1.3)
  • Risikobehandlingsplan (afsnit 6.1.3 e og 6.2)
  • Risikovurderingsrapport (punkt 8.2)
  • Registrering af uddannelse, færdigheder, erfaring og kvalifikationer (punkt 7.2)
  • Overvågnings- og måleresultater (klausul 9.1)
  • Internt revisionsprogram (klausul 9.2)
  • Resultater af interne revisioner (klausul 9.2)
  • Resultater af ledelsesanmeldelse (klausul 9.3)
  • Resultater af korrigerende handlinger (klausul 10.1)

Og bilag A kontrollerer?

Bilag A skitserer kontrollerne der er forbundet med forskellige risici. Afhængigt af de kontroller, som din organisation vælger, skal du også dokumentere:

Erklæringen om anvendelighed

Vi kan ikke dykke ned i ind og ud af alle disse processer her ( du kan se på vores websted for at få flere oplysninger), men det er værd at fremhæve SoA (Erklæring om anvendelighed), en vigtig dokumentation inden for informationsrisikobehandlingsprocessen.

SoA skitserer hvilket bilag A kontroller, du har valgt eller udeladt, og forklarer, hvorfor du har foretaget disse valg. Det skal også indeholde yderligere oplysninger om hver kontrol og link til relevant dokumentation om dens implementering.

Håndtering af dokumentationsprocessen

Når du begynder dit compliance-projekt, vil du bemærke, at dokumentationen processen er meget mere tidskrævende end implementeringen af selve kravene.

Hver klausul leveres med sine egne dokumentationskrav, hvilket betyder, at it-ledere og implementatorer bliver nødt til at håndtere hundreder af dokumenter. Hver politik og procedure skal undersøges, udvikles, godkendes og implementeres, hvilket kan tage måneder.

Gør dokumentationsprocessen nem

Organisationer kan forenkle overholdelsesprocessen med vores ISO 27001 ISMS-dokumentation Toolkit.

Udviklet af ISO 27001-eksperter hjælper dette sæt tilpasselige skabeloner dig med at imødekomme standardens dokumentationskrav med så lidt besvær som muligt.

Du kan integrere dokumentationen direkte i din organisation, hvilket sparer tid og penge og med adgang til support i mere end 12 måneder, kan du være sikker på eksperthjælp, hvis du er i tvivl om noget relateret til ISO 27001-dokumentationsprocessen.

Find ud af mere om ISO 27001 ISMS Documentation Toolkit > >

En version af denne blog blev oprindeligt offentliggjort den 24. marts 2016.

Anbefalet læsning:

  • Hvor mange kontroller er der i ISO 27001-standarden?

Write a Comment

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *