菜单

打电话给我们 03450 21 21 51

ISO 27001..–成为认证的五大挑战
SRM.博客

ISO 27001..–成为认证的五大挑战

Julia Wailes-Fairbairn

写道 Julia Wailes-Fairbairn

2019年2月5日

分享这篇文章

ISO 27001.

由katie mcmillan–高级信息安全顾问

 

“当您以创造性方式对待其挑战时,生活更有趣” – Bill Gates

没有什么比开始在一个令人兴奋的项目上令人沮丧,并将很多时间和努力投入到某些东西中,只是发现它击中了砖墙,或者进步是如此缓慢,你发现蜗牛正在嘲笑你。它’当事情感到过于繁重而且你可以’似乎在沿途上描绘任何有意义的进步。

与许多信息安全标准一样,ISO 27001有自己的公平份额,困难和整体糟糕的媒体。但是,正如以前所说的那样,这些挑战肯定只是伪装的机会。毕竟,标准本身就是助攻业务 保护机密性,诚信 and Availability (CIA) 信息只能使贵公司受益。

SRM.编制了前5名挑战,以获得您的业务ISO 27001认证,以及如何抵消该蜗牛节奏。

  1. 风险评估
  2. 项目的所有权
  3. 缺乏项目规划
  4. 利益相关者投资
  5. 差距分析和沟通

  1. Risk Assessment

基本上,风险评估每天都会被每个人进行。我们评估日常生活中的情况,我们会修复这些风险。喜欢过马路,在我们留下长途旅行或购买新车之前检查天气。我们无意识地始终评估风险,这是有道理的,即应该在保护信息中的信息时进行。

ISO 27001.围绕着扎实信息安全策略和风险评估方法构建。如果这是一个’t in place, then you’在第一次障碍时倒下了’在没有风险评估的情况下,将审计员在土地上进行。风险评估的主要挑战是它们看起来很可怕,并复杂。

风险评估并不是’T必须复杂或耗时。通过评估可能性的影响和乘以,通过评分兴奋和繁殖来评估信息的机密性,完整性和可用性的风险,您可以确定整体风险评分或评级。然后通过确认减轻措施来降低可能性或影响,或两者,您可以重新评分风险,风险评级将降低。

2.项目的所有权

对ISO 27001的常见误解是该项目应仅与IT部门一起坐在一体。不幸的是,虽然有一个对其实施的控制有关,但它是相关的’非常重要,确保组织内的所有关键部门都在桌面周围。例如,ISO 27001具有与人力资源政策有关的部分,可以与庄园或设施和数据保护一起坐在庄园或设施和数据保护中,这完全可以与IT部门分开。

检查标准是否有助于确保您涉及组织内的所有部门。

3. 缺乏项目规划

由于标准深入,并且涉及许多部门,这意味着该信息可以坐在业务的各个领域,它可以很快变得麻烦和不可分割力。有些部门可能会领先于他人,并在不同办公室甚至不同的网站时保持对话可能会对项目时间表中的不必要的压力。

彻底计划项目并分配项目经理以运行它是一个好主意。通过为时间表的会议,行动和问责制分配全部责任,可以放心,有人维持所有各种里程碑的控制。

4.利益攸关方的投资

有必要获得项目所需部门,管理和项目的关键参与者的投资。作为网络安全专业人士,SRM经常被问到这个问题‘为什么我们需要实施这些控件?我们一直以这种方式工作。’通过ISO 27001项目,运行该项目的人可能会遇到一些从各个团队围绕为什么和如何。

最好的建议是将突出拆分为较小的块,所以它看起来不那么令人恐吓。确保您拥有一个现实的时间范围,以便通过立即制作太多更改并在需要时解释该过程,因此不要感到恐吓。与团队开放和诚实,解释认证的好处。如果你挣扎,你总是可以将它们指向SRM博客的方向– 为什么要获取ISO27001认证?

5.差距分析和沟通

在计划获得认证的初始阶段,您需要进行可能或可能不会缺失的证据的差距分析。这可能是处理的艰巨任务,需要简洁地计划。再次,保持合适的人为这是关键。例如,如果您正在进行差距分析,无法找到程序的政策;如果你写一个然后找出一周后,这已经写了一下,这已经写了一下,刚刚存储在其他地方,那么你将浪费大量的时间和精力。

确保所有利益相关者都参与从一开始就参与差距分析的关键,然后可以建议他们已经写入了一些证据或已经遵循了一个过程。对自己进行差距分析或风险评估将导致您带来更多挑战,并且可能不会在项目的结果中投入利益相关者。通信是任何审计结果的关键。让人们通知意味着他们可以为认证过程提供有价值的投入。

ISO27001不需要复杂或令人厌恶的过程。在正确的区域和一些详细的项目规划中,您可以实现积极的结果和所需的时间范围。

如果您正在努力与您的认证项目一起启动和寻找一些帮助,请在我们的网站上与SRM联系 //www.srm-solutions.com 或者在03450 21 21 51上致电我们。