Aikido 、ISO 27001:2022と SOC 2Type 2に準拠するためのプロセスを経たところです。そして、私たちが望んでいたことの1つは、始める方法についての実践的でナンセンスなアドバイスでした。ベストプラクティスや注意すべき点など、基本的にはISO 27001認証プロセスをすでに経験した人からのヒントです。
Aikido ISO 27001:2022に準拠するまでの道のりとISO 27001の要求事項については、こちらをご覧ください。
ISO:27001への準拠を検討しているSaaS企業の皆様のお役に立てるよう、このブログ記事を書きました。
ISO27001認証取得プロセスで学んだ8つのこと
1.何をしようとしているのかを知る
もし一度もやったことがないのなら、まずは友人や仕事関係の知り合いに聞いてみることだ。きっとこのプロセスを経験した人が見つかるはずだから、彼らに当たってアドバイスをもらおう。
どうしても誰も見つからない場合は、プレ・オーディターとコンタクトを取ることもできる。ただ、彼らは当然のことながら、あなたにサービスを売りつけようとするので注意してほしい。
いずれにせよ、すべての仕組みを理解することは本当に役立ちます。そうすることで、最終的には時間の節約になり、ISO 27001認証をより早く取得することができます。
2.ISO 27001の導入に取り組んでいることを伝える
ISO 27001を導入している最中であることを伝えると、人々は高く評価します。近い将来、心配事が減ることを知りたがるでしょう。そしてそれは、売上やコンバージョンの向上にもつながります。そのため、ウェブサイトや営業上の会話、LinkedInなどでこのことに触れてください。ユーザーには、製品をよりコンプライアンスに適合したものにしていることを伝えましょう。
3.どのISO 27001規格を導入するかを決める(2013年、2017年、2022年)
2022年には、セキュアなコーディングとソフトウェア・セキュリティに関して、はるかに多くのコントロールがある。(例えば、マルウェアの検出は新しいコントロールである)。つまり、古いバージョンよりも実装に手間がかかるということだ。より新しい規格のいずれかを選ぶのであれば、より多くの管理が必要になりますが、将来への備えはすでにできていることになります。そのため、2022年版を選んだ方がいいだろう。
簡単なヒント:ISO 27001認証は、3年ごとに全面的な審査が必要です。つまり、ISO 27001:2013の有効期限はあと2年しかないため、取得しない方がよい。
ISO 27001規格の各バージョンでは、リスク管理プロセスの枠組みも異なっている。2022年版では、進化するサイバーセキュリティ・リスクを反映した最新の認証要件が盛り込まれています。そのため、企業はこれらのリスクを特定、評価、軽減するための強固なリスク管理プロセスを導入することが重要になります。
なお、成熟した大企業であれば、2017年版の方がより確立されており、既存のプロセスを混乱させずに済むかもしれないので、そちらを選ぶ方がいいかもしれない。
4.すべてをアウトソーシングしない
全プロセスをアウトソーシングするのは危険です...全プロセスをコンサルタント会社にアウトソーシングすることは可能だとしても、私はそれをお勧めしません。確かに、コンサルタントは間違いなく手助けをしてくれるし、テンプレートを提供してくれたりする。しかし、すべてを外注して問題が発生した場合、その対処法を知っておく必要がある。私のアドバイスとしては、少なくとも2人、最大でも4人、会社の人間が関与することだ。
簡単なヒント:最終審査は、認定された認証機関によって実施されなければならないことを忘れないでください!
5.あなたの会社にとって理にかなったペンテストを受けよう
ソフトウェア会社であれば、OWASP ZAPのような自動化ツールではカバーできないことに焦点を当てるペンテスターを選ぶべきである。昔ながらの」ペンテスターではなく、バグバウンティハンターの経験を持つペンテスターを選ぶこと。
6.コンプライアンス基準を活用し、加速する
すでにSOC2に準拠していることで、ISOへの準拠がより早くなります。また、ISOに準拠していれば、NIS2(EUで適用される新しい規制)も簡単になることを知っておくとよい。
簡単なヒント:監査人が監査を受けているかどうかを再確認すること(これは義務です)。適切な資格のない人を選ばないこと、さもなければ騙されるかもしれない。
7.完璧な人間などいないことを自覚する
最終的な監査では必ず不適合が見つかるものであり、不完全であっても構わない。しかし、そのような不完全な点を把握し、問題を解決するための正式な行動計画を立てる必要があります。 これは、最終的に会社全体のセキュリティ向上につながる継続的な改善プロセスです。もちろん、「完璧」を達成することはできないかもしれないが、そこに到達するために最善を尽くすべきである!
8.ISO管理をカバーするツールの導入に早く着手する
ISOへの準拠を検討しているのであれば、特定の管理をカバーするのに役立つ(そして必要な証拠も作成できる)ツールの試運転を行うのは常に良いアイデアだ。
例えば、オンボーディング、オフボーディング、バックグラウンドチェック、会社資産の割り当てと回収などです。これらのプロセスをOfficient、Personio、Workdayなどの人事情報システム(HRIS)に実装しておけば、ISOのエビデンスを作成する必要が生じたときに、すぐに実行に移すことができます。
Aikido同じで、すでに22の管理についてチェックを行い、包括的なISO 27001報告書を作成している。これもまた、ISOの準備に先手を打った好例である。
ISO 27001:2022 技術的脆弱性管理
ISO 27001:2022認証取得への道を歩んでいますか?私たちのプラットフォーム、Aikido Securityは、ISO 27001:2022アプリケーションのためのすべての技術的な脆弱性管理のニーズを満たします。また、コンプライアンス・モニタリング・プラットフォーム(Vantaや Drataなど)と提携することで、データを簡単に同期し、脆弱性情報が常に最新であることを保証します。これにより、セキュリティ態勢を容易に把握することができます。
レポートを請求する
当社のISO 27001:2022認証は、当社のセキュリティ概要ページから直接ご請求いただけます。私たちの努力の成果を分かち合えることは、この上ない喜びです! 😉。
このブログ記事が皆さんのお役に立てば幸いです。私たちがこのプロセスを始めたとき、これらのヒントをすべて知っていたらと思うと残念でなりません。ISO認証取得を検討されている方は、LinkedInで私とつながってください!
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
