Turvallisuus ja yksityisyys ovat nykyaikana. Jokaisen uuden korkean profiilin tietoturvaloukkauksen myötä ja Data Tietosuojalainsäädännön maailmanlaajuisen kasvun myötä jokaisen yrityksen ja organisaation on huolehdittava siitä, että osoittaa, että ne ryhtyvät kohtuullisiin toimiin henkilötietojen suojaamiseksi. joita ne käyttävät. ISO 27001 -standardin kaltaisilla turvallisuusstandardeilla on tässä yhteydessä merkitystä. tärkeä rooli.
Mikä on ISO 27001 -standardi?
ISO 27001 -standardin avulla voit osoittaa, että olet analysoinut liiketoimintasi, tunnistanut riskit, toiminut riskien todennäköisyyden ja/tai vaikutusten minimoimiseksi ja että riippumaton ulkopuolinen taho on tarkistanut, että kaikki tekemäsi on kohtuullista. Koska tarkastus tehdään joka vuosi, se on jatkuva sitoumus vaatimustenmukaisuuden noudattamiseen.
Myyjiä valittaessa, olipa kyseessä sitten ulkoistajaa, joka käsittelee paperityöt, tai SaaS-myyjää, joka käsittelee paperityöt. tietoja pilvipalvelussa, tai mitä tahansa muuta palvelua, jossa luotat ISO 27001 -standardi on tärkeä, kun luotat palveluntarjoajan tietoturvastandardeihin tietojesi ja maineesi suojaamiseksi. arvokas sertifiointi. Mutta miten voit olla varma siitä, että yritys, jonka kanssa olet kanssa tekemisissä olevalla yrityksellä on voimassa oleva sertifiointi?
ISO 27001-yhteensopiva vs. ISO 27001-sertifioitu ISO 27001 -standardi
Ensimmäiseksi on pyydettävä kopio ISO-sertifikaatista. On tavallista, että myyjät väittävät ylpeinä, että ne ovat "mukautuneet ISO 27001 -standardiin", mutta mieti, mitä tämä tarkoittaa. Yhdenmukaistettu ja sertifioitu ovat hyvin erilaisia asioita. Jos yritys on tehnyt kaiken kovan työn "mukautuakseen" ISO-standardiin, miksi se ei ota viimeistä askelta ja sertifioidu? Vai onko yrityksellä jo aiemmin ollut sertifiointi, joka on poistettu, koska se ei ole täyttänyt vaadittuja standardeja?
The ISO 27001 -standardin soveltamisala
Kun olet saanut todistuksen, sinun on seuraavaksi tarkistettava, että se on voimassa ja että se kattaa alueet, joilla aiot käyttää myyjää. Ensimmäinen askel on siis tarkistaa sertifikaatin voimassaolon päättymispäivä. Jos se on vanhentunut, se ei ole voimassa. Seuraavaksi tarkista, että todistuksen myöntänyt elin on akkreditoitu. IAF:n jäsenluettelossa on selkeästi dokumentoitu, kenellä on valtuudet akkreditoida sertifiointielimiä. Esimerkiksi Yhdistyneessä kuningaskunnassa se on UKAS. Tarkista sitten, että myyjän sertifikaatin akkreditoinut elin on lueteltu kyseisen maan sivustolla.
Tiedämme nyt, että todistus on voimassa, mutta emme ole vielä valmiita. Seuraavaksi meidän on tarkistettava, että varmenne kattaa toiminnot, jotka haluamme toimittajan suorittavan kohteissa, joissa työ tehdään. toteutetaan. ISO 27001 -standardin avulla voit valita, mitä sertifioidaan, ja mitkä toimipaikat ovat sen kohteena. Tämä on sertifioinnin soveltamisala.
Sanotaan esimerkiksi, että yritys, joka huolehtii paperityön turvallisesta hävittämisestä, laajentaa toimintaansa uuteen toimipaikkaan. Yrityksellä on ISO-sertifiointi alkuperäistä toimipaikkaa varten. Sertifiointi ei kata uutta toimipaikkaa ennen kuin sertifiointiprosessi on saatu päätökseen. Sertifikaatti voi kattaa useita toimipaikkoja, mutta vain, jos se on nimenomaisesti mainittu. Entä jos sama yritys päättäisi ostaa SaaS-palkanlaskennan tarjoajan? ISO-sertifikaatti koskee vain papereiden turvallista hävittämistä, se ei kata SaaS-toimintaa.
Lopuksi, kun olet vakuuttunut siitä, että että todistus kattaa tarvitsemasi laajuuden, sinun on tarkistettava, että tarkastukset ovat myyjän käytössä olevat tarkastukset varmistaaksesi, että ne täyttävät vaatimuksesi ja odotuksesi. ISO-sertifiointi on jatkuva ja kehittyvä prosessi. Koska riskien luonne ja asiakasvaatimukset muuttuvat, niin myös valvonta muuttuu. Tarkista siis myyjäsi jos ne eivät täytä vaatimuksiasi, vaadi, että toimittajan valvontaa jatketaan. valvonnan lisäämistä. Näin saat tarvitsemasi mielenrauhan, ja samalla saat samalla kun se helpottaa toimittajan uudelleensertifiointia, koska se voi tehdä osoittaa, että se arvioi aktiivisesti käyttämiään kontrolleja ja päivittää niitä. niitä tarvittaessa.
Myyjien valinta ja arviointi on tärkeä osa oman ISO 27001 -sertifiointisi ylläpitämistä, joten muista nämä kolme vaihetta:
Tarkista ensin , että myyjän sertifikaatti on voimassa.
Toiseksi - tarkista, että soveltamisala on sovellettavissa.
Tarkista lopuksi , että hallintalaitteet vastaavat tarpeitasi ja odotuksiasi.
MetaCompliance on ylpeä siitä, että se on ISO 27001 -standardin mukainen. MetaCompliance on aina pyrkinyt tarjoamaan asiakkailleen vahvimman tietoturvainfrastruktuurin. Tämä sertifiointi takaa, että tuotteemme on asetettu korkeimpien standardien mukaisiksi hyväksyttyjen ja dokumentoitujen prosessien avulla ja että olemme sitoutuneet korkeimpiin tietoturvan standardeihin. Jos haluat lisätietoja, ota yhteyttä.