Hvordan kan du validere en forhandler, som påstår at have ISO 27001?

Vi bliver på vores ISO27001 certificerede ISMS ledende iværksættere online tit spurgt om, hvordan man kan validere en ISO 27011 forhandler, og derfor besluttede vi os for at dele vores vejledning i denne blog post:

HVORDAN AT VALIDERE EN ISO 27001 FORHANDLER

Desværre er der ikke noget centralt register for alle ISO 27001 certifikater.

Det betyder at bekræfte ægtheden af et certifikat kræver lidt benarbejde, men den gode nyhed er, at det er 100% muligt at afgøre, om bestanden om en certificering er valid, og om certifikatet er udstedt fra akkrediteret certificerende myndighed.

  1. Anmod om en kopi af forhandlerens certifikat, inklusive eventulle appendikser, som er udstedt sammen med det (appendikserne kan indeholde yderligere detaljer om anvendelsesområde, lokationer som er afdækkede, osv.).
  2. Find ud af navnet på den certificerende myndighed, som udstedte certifikatet og den nationale certificerende myndighed, som akkrediterede den certificerende myndighed – det er der sandsynligvis i form af et logo såsom ANAB, UKAS, INAB, osv.
  3. Tag kontakt til den certificerende myndighed for at bede dem om at bekræfte validiteten af certifikatet. Nogle certificerende myndigheder gør det via deres hjemmeside, mens andre først kontrollerer, om deres klient gerne vil dele den information med dig.
  4. Når til sidst alt det er afklaret og du er sikker på, at certifikatet blev udstedt i henhold til den akkrediterede certificering, så er de sidste ting, der kan kontrolleres, de samme som diskuteret i ISO27001 certificerede ISMS ledende iværksættere online:
  • certifikatets anvendelsesområde – Kontroller, at det afdækker alle leverandørens forretningsprocesser og lokaliteter, som du giver dine informationer til. Mange organisationer begrænser anvendelsesområdet for at spare på udgifterne til implementeringen eller endda på certificeringsauditten. Som et resultat deraf kan det kompromittere omfanget af den sikkerhed, som certifikatet giver.
  • Datoen for udstedelsen og udløbsdatoen for certifikatet – Det giver dig en idé om, hvor udviklet ISMS’et bør være. Det er det værd med jævne mellemrum at bekræfte, at certifikatet stadig er gyldigt, for det kan blive tilbagetrukket, hvis ISMS’en ikke bliver hensigtsmæssigt vedligeholdt.
  • Reference til gyldighedserklæringen (SoA) – der bør være en reference til den specifikke verson af den SoA, som din leverandør er blevet auditeret i henhold til, og du kan bede om en kopi. Nogle organisationer ser bort fra kontroller, som du måske forventer er på plads, og du finder ikke ud af det uden at gennemgå SoA’en. Hvis de har set bort fra kontroller, så åbner det selvfølgelig op for en helt anden række af spørgsmål: granskning for at finde ud af, hvilke kompenserende kontroller der er på plads for at give den samme sikkerhed og en restrisiko, som forhåbentligt indfrier dine behov. Den certificerende myndighed bør bekræfte anvendelsesområdet, datoerne og versionen af SoA’en i den information, som du anmoder om.

 

For mere information om avanceret uddannelse i ISO 27001, book en plads på det næste ISO27001 Certified ISMS Lead Implementer Online.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.