Si vous envisagez un ISO 27001 boîte à outils de documents, lisez ceci en premier. 2011 a été une année où il s’est passé beaucoup de choses. Un mariage royal, un printemps arabe, la mort d'Amy Winehouse (avec de nombreux autres personnages notables) et de terribles tremblements de terre à travers le monde. Nous avons également eu notre premier tremblement de terre en Alliantiste aussi (relativement parlant, ce fut un choc désagréable) ; la nécessité d'atteindre la norme ISO 27001. Et d'y parvenir avec un organisme indépendant Certification UKAS pour satisfaire notre client le plus important. Nous avons donc hoché la tête en direction du client et sommes partis découvrir ce qui se passait. Les secousses ont continué pendant un certain temps.
À ce stade (de nombreuses années avant le développement d'ISMS.online), nous n'avions littéralement aucune idée de ce qu'était un système de gestion de la sécurité de l'information (ISMS) et nous ne connaissions rien de la norme ISO 27001. Le client concerné a adoré notre spécialiste. service logiciel cloud sécurisé et nous a dit que le système de gestion de la sécurité de l'information ISO 27001 Cette norme devenait nécessaire car ils considéraient notre plateforme comme essentielle pour partager des informations plus sensibles qu'auparavant.
Nous avons fait ce que font la plupart des gens lorsqu’ils ont besoin de rechercher quelque chose ; rechercher en ligne. Nous devions également espérer obtenir une mise en œuvre rapide de la norme ISO 27001 à un prix abordable, car le coût n'était pas pris en compte dans l'accord conclu avec le client, et nous devions le faire assez rapidement. Après tout, qui budgétise un système de gestion de la sécurité de l’information sans comprendre ce que cela implique ?
Les premières recherches nous ont amenés à comprendre qu’il était important de disposer d’une documentation ISO 27001. Cela a conduit à des recherches de modèles de documentation ISO 27001 gratuits, d'outils ISO 27001 gratuits et de boîtes à outils de documents ISO 27001 ainsi que de boîtes à outils de protection des données. Et nous avons également vérifié les contenus payants, comme nous le savons tous, la gratuité est rarement disponible dans la pratique. Internet et ce sujet ont évidemment beaucoup progressé en 8 ans, tout comme la réglementation avec des choses comme le RGPD, ce qui signifie que la gestion de la sécurité de l'information est encore plus importante pour tout le monde, pas seulement pour le client averti. Il est facile de rire de notre naïveté aujourd'hui, mais en raison du marketing et de notre manque de connaissances, nous avons été attirés par l'attrait initial des boîtes à outils documentaires ISO 27001 comme « solution miracle » pour obtenir notre certification ISO indépendante.
Nous avons donc acheté une « boîte à outils complète » auprès d'un fournisseur bien connu de gestion de la sécurité de l'information et avons pensé que nous avions bien fait en dépensant seulement environ 1,000 27001 £. Ensuite, nous avons acheté les normes ISO 27002 et ISO 100, qui coûtaient environ XNUMX £ chacune. Cette dernière décision a été cruciale pour nous pour de nombreuses raisons, notamment la compréhension de la structure standard, de la numérotation et le fait d'être beaucoup plus clair sur toutes les attentes.
Les boîtes à outils se sont avérées être une faible portée de documents Excel et Word de base avec des mécanismes de contrôle de version à l'ancienne et aucune clarté sur ce que nous étions censés faire ensuite. Pourrions-nous simplement modifier ces modèles ISO 27001, les transférer dans un site Google Drive ou Sharepoint et montrer à l'auditeur externe que nous étions prêts pour notre audit de première étape ? Pas assez. Nous avons perdu beaucoup de temps à essayer de comprendre cela. Le coût d'opportunité de notre tarif journalier de conseil devenait important et nous n'étions pas plus proches de l'objectif d'un SMSI certifié auquel notre client pouvait faire confiance.
À la réflexion, cela équivaut à l’achat d’un parapluie pour résoudre un risque sismique ; un atout peut-être utile, mais loin d'être suffisant, et vous auriez pu dépenser cet argent plus efficacement. C'est peut-être même un handicap si vous vous faites également poignarder à l'œil par le parapluie pointu alors que vous ne savez pas quoi en faire pendant le tremblement de terre… Je pousse évidemment les analogies et je mélange un peu mes métaphores. Le point littéral est que la documentation ISO 27001 en elle-même n'est pas suffisante et les experts en normes ISO ont clairement déclaré qu'un « système de management » est la chose importante à réaliser.
Téléchargez votre guide gratuit pour une certification rapide et durable
Nous avons juste besoin de quelques détails pour pouvoir vous envoyer par e-mail votre guide pour atteindre la norme ISO 27001 du premier coup.
Téléchargez votre guide gratuit maintenant et si vous avez des questions, n'hésitez pas Réserver une démo or Contactez-Nous. Nous serons heureux de vous aider.
Notre ISMS est préconfiguré avec des outils, des cadres et une documentation que vous pouvez adopter, adapter ou ajouter. Simple.
Notre méthode de résultats assurés est conçue pour vous obtenir une certification dès votre première tentative. Taux de réussite de 100%.
Oubliez les formations longues et coûteuses. Notre série de vidéos Virtual Coach est disponible 24h/7 et XNUMXj/XNUMX pour vous guider.
Est-ce que cela pousse trop loin le concept de « boîte à outils » et d'outils ISO 27001 alors que vous n'obtenez qu'un ensemble de documents et de feuilles de calcul ? Peut-être, même si Wikipédia mentionne les feuilles de calcul comme exemple d'outil ! Ensuite, il y a la « boîte à outils » et la « boîte à outils » elle-même, qui signifient des choses différentes pour différentes personnes.
Imaginez ceci pour vos outils et votre boîte à outils : cela semble attrayant mais il est peu probable qu'il fasse bien le travail à moins que vous n'ayez environ quatre ans.
Par contre pour vos outils et votre boîte à outils : complet, bien organisé et rapide pour trouver ce dont vous avez besoin quand vous le souhaitez et simple à utiliser également par des professionnels inexpérimentés. Mais cela peut aussi coûter beaucoup plus cher et ne pas correspondre à ce dont vous avez réellement besoin.
En réalité, lorsque la sécurité de l'information des sites de commerce électronique et les consultants parlent de boîtes à outils, ce qu'ils entendent réellement par documentation ISO 27001. La qualité, la portée et les conseils réels du contenu peuvent varier de :
Aucun d’entre eux n’atteint à lui seul le succès de la norme ISO 27001 et ne crée pas de système de gestion de la sécurité de l’information en soi.
ISMS.online vous fera gagner du temps et de l'argent vers la certification ISO 27001 et simplifiera sa maintenance.
Responsable de la sécurité de l'information, Honeysuckle Health
Afin d'atteindre la norme ISO 27001 et d'obtenir une certification indépendante, il est nécessaire de décrire et de démontrer une documentation (contenu) fonctionnant dans la pratique pour environ 140 activités spécifiques. Cela comprend la préparation, la réunion Clauses d'exigences fondamentales de la norme ISO 27001 et traitant des contrôles de l'Annexe A. Avoir la documentation est donc une chose, démontrer qu'elle est pertinente pour votre organisation et que vous vivez le système de management dans la pratique en est une autre.
Il est donc important de qualifier avec soin ce qui est exactement inclus dans une boîte à outils de documentation. Vous ne voulez pas obtenir une boîte à outils partielle de Bob the Builder avec un ajustement de qualité pour un utilisateur de quatre ans alors que ce que vous vouliez vraiment était l'ensemble complet d'outils Snap-on pour adultes. De même, pourquoi acheter un ensemble d’outils complet alors que vous disposez déjà des équivalents en clé et en marteau. Dans la pratique, très peu d’organisations partent de zéro. Nous avons créé une approche de mise en œuvre ISO 27001 appelée ARM ; le Méthode de résultats assurés. Il aide les organisations à atteindre la norme en s'appuyant sur ce qu'elles ont déjà et en étant pragmatique dans leur approche de la certification ISO 27001.
Cela dépend de la qualité et de l'étendue de ce que vous avez acheté, ainsi que des autres éléments dont vous disposez pour exploiter et gérer votre système de management ISO 27001. Vous souhaiterez facilement adopter, adapter et compléter la documentation et les outils afin de les rendre pertinents par rapport à la méthode de travail souhaitée par votre organisation.
Avec la puissance et le prix abordable de la technologie, vous souhaiterez disposer d'un système de gestion pour aider à coordonner et à contrôler votre documentation, montrant que vous la révisez régulièrement et que vous « vivez et respirez » toutes les exigences et contrôles pertinents de la manière prévue par la norme. Bien qu'il existe de nombreuses façons différentes d'y parvenir, nous avons identifié ce que nous considérons comme étant la Principales caractéristiques du logiciel ISMS.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
La documentation ISO 27001 est importante et, comme indiqué ci-dessus, c'est probablement la première chose que les gens recherchent, même aujourd'hui, lorsqu'ils découvrent la norme. De nombreuses demandes que nous recevons aujourd'hui pour ISMS.online commencent par le commentaire « Nous avons récemment acheté une boîte à outils documentaire, mais nous réalisons maintenant que ce n'était pas ce que nous pensions… » Malheureusement, la plupart de ces organisations, comme nous l'avons fait, auront presque certainement perdu entre 500 et 1500 XNUMX £ et leur temps pour arriver à ce poste.
Il est très important non seulement de décrire le contenu, mais aussi de démontrer que, quel que soit le contenu, politique et contrôle documentation que vous utilisez, ce qui est évident dans son utilisation opérationnelle. Par exemple si votre la politique indique que vous utilisez l'authentification à 2 facteurs et que vous disposez de systèmes contrôles d'autorisation de l'administrateur, assurez-vous que vous pouvez les montrer en pratique à un auditeur.
Vous ne pouvez pas simplement avoir une méthodologie de gestion des risques dans un document autonome, vous devez identifier et gérer les risques régulièrement dans la pratique – s'il est difficile de suivre cette politique dans la pratique ou si cela ne se produira pas parce que la politique ou l'outil est maladroit, vos efforts de certification échouera. Par conséquent, les boîtes à outils de documentation peuvent être un atout ou un passif, selon ce que vous achetez, d'où vous l'obtenez et comment vous l'utilisez. Caveat emptor !
Nous avons longuement réfléchi au niveau et à la portée de la documentation complémentaire qui devrait être fournie avec ISMS.online, pour ceux qui souhaitent avoir une longueur d'avance. Nous avons fini par penser que nous pouvons, « la main sur le cœur », aider organisations avec jusqu'à 77 % de progrès sur l'ensemble de leur documentation sur les exigences et les contrôles dès qu'ils se connectent, notre matériel étant si facile à adopter, à adapter et à compléter par rapport aux autres. Cela réduit considérablement le temps passé et permet d’économiser énormément d’argent. Les commentaires des clients suggèrent qu'il s'agit de la suite de documents la plus complète du marché, en particulier lorsqu'elle est complétée par notre service Virtual Coach et ARM qui contribuent à accélérer la mise en œuvre de la norme ISO 27001.
Plus important encore, nous nous sommes assurés que tout le contenu constitue une documentation pratique et exploitable au sein du système de gestion ISMS.online. Après tout, vous devez disposer d'un système de gestion de la sécurité de l'information pour atteindre la norme ISO 27001 et une boîte à outils documentaire n'est tout simplement pas suffisante, aussi bonne soit-elle. Nous avons découvert cela à nos dépens il y a de nombreuses années, et c'est dommage que d'autres tombent encore dans les fissures (retour à ce tremblement de terre ;), mais avec ISMS.online maintenant disponible, vous n'êtes pas obligé d'en faire partie.
Réservez une séance pratique sur mesure en fonction de vos besoins et de vos objectifs.