Välkommen till vår guide för att genomföra implementering av ISO 27001 Bilaga A-kontroller med AmpliFlow som en del av ert ISO-certifieringsprojekt.
Denna guide hjälper er att komma igång med vår modul för ISO 27001-kontroller och säkerställer att processen genomförs smidigt och effektivt.
ISO 27001 Bilaga A innehåller 93 säkerhetskontroller som skyddar er information. Dessa kontroller fungerar som säkerhetsregler för ert företag - precis som ni har brandlarm för att skydda byggnaden, behöver ni dessa kontroller för att skydda er information.
För att komma igång är det bra att ha grundläggande kunskap om vad ett medarbetarsamtal är och varför det är viktigt.
Varför är detta viktigt för er?
För dig som medarbetare: Du får tydliga riktlinjer för hur du ska hantera information säkert i ditt dagliga arbete.
För ert team: Ni får gemensamma rutiner som gör att alla jobbar på samma sätt med informationssäkerhet.
För företaget: Ni får ISO 27001-certifiering som visar kunder att ni tar informationssäkerhet på allvar, vilket ofta krävs för att få stora kontrakt.
Läs vår artikel om "Vad är kontrollerna i ISO 27001 Bilaga A?" för att få veta mer.
En stor del av arbetet är redan förberett genom våra exempel på alla 93 kontroller från ISO 27001 Bilaga A samt implementationsguider för varje kontroll.
Det ni behöver göra nu är att:
Area: Visar vilket område kontrollen tillhör, t.ex. "Organisatoriska kontroller", "Personkontroller" eller "Tekniska kontroller". Detta hjälper er att förstå vilken typ av åtgärd som krävs och vem som bör vara ansvarig.
Requirement section reference: Anger den exakta referensen till kontrollen i ISO 27001 Bilaga A, t.ex. "5.1" eller "8.8". Denna referens används i ert SoA-dokument.
Control: Den exakta kontrolltexten från ISO 27001 Bilaga A som beskriver vad som krävs.
Requirement explanation: Innehåller en detaljerad förklaring av kontrollen, varför den är viktig, hur den relaterar till andra kontroller och vilka branschstandarder som är relevanta. Denna information hjälper er att förstå kontexten och implementera kontrollen korrekt. Denna kolumn skrivs inte ut i SoA-dokumentet utan är endast för er interna förståelse.
Assessed as relevant: Här anger ni om kontrollen är relevant för er verksamhet eller inte. Nästan alla kontroller är relevanta för alla organisationer - det är mycket ovanligt att kunna anse kontroller som inte relevanta.
If No - justification: Om ni bedömer att en kontroll inte är relevant (vilket är ovanligt), måste ni motivera varför med en detaljerad förklaring. Denna motivering granskas noga av certifieringsorganet och måste vara välgrundad.
Do we fulfill the requirement: Markera om ni uppfyller kontrollen idag eller inte. Detta ger en snabb överblick över er nuvarande status och visar vad som behöver implementeras.
Implementation checklist: En steg-för-steg guide för vad som konkret behöver göras för att uppfylla kontrollen. Använd denna som arbetslista för implementeringen - bocka av varje punkt när den är klar. Denna information skrivs inte ut i SoA-dokumentet utan är endast för ert interna arbete.
Example description of how we fulfill the requirement: Förslag på detaljerad text som beskriver hur ni uppfyller kontrollen. Denna text är avsedd för att hjälpa er att jobba med det specifika kravet isolerat. När allt är klart kan texten ligga kvar eller flyttas till exempelvis AmpliFlow pages för att tillgängliggöras för resten av organisationen. Denna kolumn skrivs inte ut i SoA-dokumentet.
Example how we fulfill the requirement (SoA): Förslag på generisk text som beskriver att ni uppfyller kontrollen. Denna text är i stort sett en spegling av själva ISO-texten - om kontrollen säger "ni ska" så säger den här "vi gör". Den säger inte hur ni gör det, bara att ni gör det. Denna text är avsedd för ert SoA-dokument och ska vara övergripande och generisk.
Link to documentation: Lägg till en länk till det ställe där er detaljerade dokumentation finns som visar exakt hur ni uppfyller kontrollen. Notera att det ska vara en (1) länk för att tvinga fram bra struktur - om ni har flera dokument, skapa en samlingsplats för dessa. Denna information skrivs inte ut i SoA-dokumentet utan är endast för ert interna arbete.
Link to tool: Lägg till en (1) länk till verktyg eller system som ni använder för att uppfylla kontrollen. Om flera verktyg används bör detta vara en länk till dokumentation om alla de olika verktygen som används. Denna information skrivs inte ut i SoA-dokumentet utan är endast för ert interna arbete.
SoA-dokumentation (Statement of Applicability) ska vara:
Intern dokumentation ska vara:
Varför denna uppdelning? SoA-dokumentet granskas av externa revisorer vid certifieringsrevisionen, men det är framför allt ni själva som kommer att använda det regelbundet för att visa kunder, partners och andra intressenter att ni uppfyller ISO 27001-kraven. SoA-dokumentet är ert "visitkort" för informationssäkerhet. Genom att hålla det generiskt skyddar ni känslig information samtidigt som ni visar att ni uppfyller kraven. Den detaljerade dokumentationen behåller ni internt för att säkerställa att arbetet faktiskt utförs korrekt.
Följande kolumner inkluderas i ert SoA-dokument:
Följande kolumner är endast för ert interna arbete och skrivs INTE ut i SoA-dokumentet:
Genom att följa denna guide får ni en smidig och effektiv upplevelse med ISO 27001-implementeringen i AmpliFlow. Om ni har frågor eller behöver ytterligare stöd, kontakta vår support.
Kontakt: