Si está considerando una ISO 27001 kit de herramientas de documentos, lea esto primero. 2011 fue un año en el que sucedieron muchas cosas. Una boda real, una Primavera Árabe, la muerte de Amy Winehouse (junto con muchos otros personajes notables) y algunos terremotos terribles en todo el mundo. También tuvimos nuestro primer terremoto en aliantista también (relativamente hablando, fue un shock desagradable); la necesidad de alcanzar la ISO 27001. Y lograrlo con un organismo independiente Certificación UKAS para satisfacer a nuestro cliente más importante. Así que saludamos al cliente con la cabeza y nos fuimos para averiguar de qué se trataba. Los temblores continuaron durante algún tiempo después.
En esa etapa (muchos años antes de que desarrolláramos ISMS.online), literalmente no teníamos idea de qué era un sistema de gestión de seguridad de la información (SGSI) y no sabíamos nada sobre ISO 27001. El cliente involucrado amaba a nuestra especialista pam. servicio seguro de software en la nube y nos dijo que el sistema de gestión de seguridad de la información ISO 27001 El estándar se estaba volviendo necesario porque veían nuestra plataforma como esencial para compartir información más confidencial que antes.
Hicimos lo que hace la mayoría de la gente cuando necesita investigar algo; buscar en línea. También teníamos la esperanza de que hubiera una rápida implementación de ISO 27001 disponible a un precio que pudiéramos pagar porque el costo no estaba incluido en el acuerdo celebrado con el cliente, y teníamos que hacerlo bastante rápido. Después de todo, ¿quién presupuesta un sistema de gestión de seguridad de la información cuando no entiende lo que implica?
Las primeras búsquedas nos llevaron a comprender que contar con la documentación ISO 27001 era importante. Esto llevó a búsquedas de plantillas de documentación ISO 27001 gratuitas, herramientas ISO 27001 gratuitas y kits de herramientas de documentos ISO 27001 junto con kits de herramientas de protección de datos. Y también revisamos las cosas pagas, como todos sabemos, lo gratuito rara vez se practica. Obviamente, Internet y este tema han avanzado mucho en 8 años, al igual que la regulación con cosas como GDPR, lo que significa que la gestión de la seguridad de la información es ahora aún más importante para todos, no solo para el cliente informado. Es fácil reírse de nuestra ingenuidad ahora, pero como resultado del marketing y nuestra falta de conocimiento, quedamos enganchados a la atracción inicial de los conjuntos de herramientas de documentos ISO 27001 como "la solución rápida" para obtener nuestra certificación ISO independiente.
Así que compramos un "kit completo de herramientas" de un conocido proveedor de gestión de seguridad de la información y pensamos que lo habíamos hecho bien gastando sólo alrededor de £1,000. Luego compramos las normas ISO 27001 e ISO 27002, que costaban alrededor de £100 cada una. Esta última decisión fue fundamental para nosotros por muchas razones, entre ellas comprender la estructura estándar, la numeración y tener mucho más claro cuáles eran todas las expectativas.
Los kits de herramientas resultaron ser una gama deficiente de documentos básicos de Excel y Word con mecanismos de control de versiones anticuados y sin claridad sobre lo que se suponía que debíamos hacer a continuación. ¿Podríamos simplemente modificar esas plantillas ISO 27001, volcarlas en Google Drive o en un sitio SharePoint y mostrarle al auditor externo que estábamos listos para nuestra auditoría de Etapa 1? No exactamente. Perdimos mucho tiempo intentando resolverlo. El costo de oportunidad de nuestra tarifa diaria de consultoría se estaba volviendo significativo y no estábamos más cerca del objetivo de un SGSI certificado en el que nuestro cliente pudiera confiar.
Pensándolo bien, es análogo a la compra de un paraguas para solucionar un riesgo de terremoto; un activo posiblemente útil, pero no suficiente, y podría haber gastado ese dinero de manera más efectiva. Quizás incluso sea un riesgo si también te apuñalaran en el ojo el paraguas puntiagudo cuando no estabas seguro de qué hacer con él durante el terremoto... Obviamente estoy llevando las analogías y mezclando un poco mis metáforas. El punto literal es que la documentación ISO 27001 en sí misma no es suficiente y los expertos en estándares ISO han declarado claramente que lo importante es lograr un "sistema de gestión".
Descargue su guía gratuita para una certificación rápida y sostenible
Solo necesitamos algunos detalles para que podamos enviarle por correo electrónico su guía para lograr la norma ISO 27001 por primera vez.
Descargue su guía gratuita ahora y si tiene alguna pregunta, entonces Solicito una demo or Contáctenos. Estaremos encantados de ayudarte.
Nuestro SGSI viene preconfigurado con herramientas, marcos y documentación que puede adoptar, adaptar o agregar. Simple.
Nuestro Método de Resultados Garantizados está diseñado para certificarlo en su primer intento. Tasa de éxito del 100%.
Olvídese de la formación costosa y que requiere mucho tiempo. Nuestra serie de videos de Virtual Coach está disponible las 24 horas del día, los 7 días de la semana para guiarlo.
¿Está llevando demasiado lejos el concepto de 'kit de herramientas' y herramientas ISO 27001 cuando lo único que obtienes es un montón de documentos y hojas de cálculo? Quizás, ¡aunque Wikipedia menciona las hojas de cálculo como ejemplo de herramienta! Luego está el 'kit de herramientas' y la 'caja de herramientas' en sí, que significan cosas diferentes para diferentes personas.
Imagínese esto para sus herramientas y kit de herramientas: parece atractivo pero es poco probable que funcione bien a menos que tenga alrededor de cuatro años.
En comparación con esto para sus herramientas y kit de herramientas: completo, bueno organizado y rápido para encontrar lo que necesita cuando lo desees y fácil de utilizar también por profesionales sin experiencia. Pero también podría costar mucho más y no ser lo que realmente necesitas.
En realidad, cuando los sitios de comercio electrónico de seguridad de la información y Los consultores hablan de kits de herramientas, lo que realmente quieren decir es documentación ISO 27001.. La calidad, el alcance y la orientación del contenido real pueden variar de:
En realidad, ninguno de ellos logra el éxito de la norma ISO 27001 por sí solo ni crea un sistema de gestión de seguridad de la información per se.
ISMS.online le ahorrará tiempo y dinero para obtener la certificación ISO 27001 y facilitará su mantenimiento.
Gerente de Seguridad de la Información, Honeysuckle Health
Para lograr la ISO 27001 y obtener una certificación independiente, es necesario describir y demostrar documentación (contenido) que funcione en la práctica para alrededor de 140 actividades específicas. Eso incluye la preparación, reunión Cláusulas de requisitos básicos de ISO 27001 y tratamiento de los controles del Anexo A. Entonces, tener la documentación es una cosa, y demostrar que es relevante para su organización y que está viviendo el sistema de gestión en la práctica es otra.
Por lo tanto, es importante calificar cuidadosamente qué se incluye exactamente en un conjunto de herramientas de documentación. No desea obtener una caja de herramientas parcial de Bob el Constructor con un ajuste de calidad para un usuario de cuatro años cuando lo que realmente deseaba era el conjunto completo de herramientas Snap-on para adultos. Del mismo modo, ¿por qué comprar un conjunto de herramientas completo cuando ya tienes los equivalentes a una llave inglesa y un martillo? En la práctica, muy pocas organizaciones comienzan su implementación desde cero. Hemos creado un enfoque de implementación ISO 27001 llamado ARM; el Método de resultados asegurados. Ayuda a las organizaciones a alcanzar el estándar basándose en lo que ya tienen y siendo pragmáticos en su enfoque hacia la certificación ISO 27001.
Depende de la calidad y el alcance de lo que compró, y también de qué más tiene que operar y administrar su sistema de gestión ISO 27001. Querrá adoptar, adaptar y agregar fácilmente la documentación y las herramientas para que sean relevantes para la forma de trabajo deseada por su organización.
Con el poder y la asequibilidad de la tecnología, querrás tener una computadora digital sistema de gestión para ayudar a coordinar y controlar su documentación, demostrando que la revisa periódicamente, así como que "vive y respira" todos los requisitos y controles relevantes de la manera que espera la norma. Si bien hay muchas formas diferentes de hacerlo, hemos identificado lo que consideramos la características clave del software SGSI.
Una sesión práctica adaptada a tus necesidades y objetivos.
La documentación ISO 27001 es importante y, como se señaló anteriormente, probablemente sea lo primero que buscan las personas incluso hoy en día cuando son nuevas en el estándar. Muchas consultas que recibimos hoy sobre ISMS.online comienzan con el comentario "Recientemente compramos un conjunto de herramientas para documentos, pero ahora nos damos cuenta de que no era lo que pensábamos que era..." Lamentablemente, la mayoría de esas organizaciones, como lo hicimos nosotros, seguramente habrán desperdiciado entre 500 y 1500 libras esterlinas y su tiempo para llegar a esa posición.
Es realmente importante que no sólo describas el contenido, sino que también demuestres que cualquier cosa política y control documentación que está utilizando, que sea evidente en su uso operativo. Por ejemplo si tu La política dice que usas autenticación de 2 factores y tienes sistemas. controles de permisos de administrador, asegúrese de poder mostrarlos en la práctica a un auditor.
No se puede simplemente tener una metodología de gestión de riesgos en un documento independiente, hay que identificar y gestionar los riesgos periódicamente en la práctica; si seguir esa política en la práctica es difícil o no va a suceder porque la política o herramienta es poco adecuada, sus esfuerzos de certificación fallará. Por lo tanto, los kits de herramientas de documentación pueden ser un activo o un pasivo, dependiendo de lo que se compre, de dónde se obtenga y cómo se utilice. Advertencia emptor!
Hemos pensado mucho sobre qué nivel y alcance de documentación complementaria se debe proporcionar con ISMS.online, para aquellos que quieren una ventaja. Terminamos con la idea de que podemos, 'con la mano en el corazón', ayudar organizaciones con hasta un 77% de avance en toda su documentación de requisitos y controles en el momento en que inician sesión, ya que nuestro material es muy fácil de adoptar, adaptar y agregar en comparación con otros. Reduce significativamente el tiempo invertido y ahorra una gran cantidad de dinero. Los comentarios de los clientes sugieren que es el conjunto de materiales más completo que existe, especialmente cuando se complementa con nuestro servicio Virtual Coach y ARM que ayuda a acelerar la implementación de ISO 27001.
Más importante aún, nos aseguramos de que todo el contenido forme documentación práctica y procesable dentro del sistema de gestión ISMS.online. Después de todo, es necesario tener un sistema de gestión de seguridad de la información para lograr la norma ISO 27001 y un conjunto de herramientas para documentos no es suficiente, por muy bueno que sea. Descubrimos esto, a nuestro costo considerable, hace muchos años, y es una pena que otros todavía caigan en las fisuras (volviendo a ese terremoto), pero con ISMS.online ahora disponible, no tienes que ser uno de ellos.
Reserve una sesión práctica personalizada según sus necesidades y objetivos.