Hur kan du validera en leverantör som hävdar sig ha ISO 27001?

Vi frågas ofta hur man validerar en ISO 27001 leverantör på vår ISO27001 Certifierad ISMS Lead Implementer Online och bestämde oss för att dela vår vägledning i detta blogginlägg:

HUR MAN VALIDERAR EN ISO 27001 LEVERANTÖR

Tyvärr finns det inget centralt register över alla ISO 27001 certifikat.

Det innebär att bekräftelse av certifikatets giltighet kräver lite arbete, men den goda nyheten är att det är 100 % säkert att avgöra huruvida certifikat kravet är giltigt, och om certifikatet är utfärdat från en ackrediterad certifieringsorganisation.

  1. Begär en kopia av leverantörens certifikat, inklusive eventuella bilagor som utfärdas (bilagorna kan innehålla ytterligare detaljer om omfattningen, de platser som omfattas, osv).
  2. Identifiera certifieringsorganets namn som utfärdade certifikatet och det nationella ackrediteringsorganet som ackrediterade certifieringsorganet – detta kommer sannolikt att vara i form av en logotyp som ANAB, UKAS, INAB, och så vidare.
  3. Kontakta certifieringsorganet för att be dem att bekräfta certifikatets giltighet.Vissa certifieringsorgan gör detta via deras hemsida, medan andra kontrollerar att deras klient gärna delar denna information med dig först.
  4. Slutligen, om allt detta fungerar och du är säker på att certifikatet utfärdades enligt det ackrediterade certifieringssystemet, är de sista sakerna att kontrollera samma som diskuterats i ISO27001 Certifierad ISMS Lead Implementer Online:
  • Omfattningen av certifiering – Kontrollera att det täcker alla leverantörens affärsprocesser och platser som du överlåter till din information.Många organisationer begränsar räckvidden för att spara på kostnaderna för genomförandet, eller till och med certifieringsrevisionen.Som ett resultat kan detta äventyra den grad av försäkring som certifikatet tillhandahåller.
  • Utgivningsdatum och datum för certifikatets utgång – Detta ger dig en uppfattning om hur mogna ISMS ska vara. Det är värt att regelbundet bekräfta att certifikatet fortfarande är giltigt eftersom det kan återkallas om ISMS inte upprätthålls på lämpligt sätt.
  • Hänvisningen till Statement of Applicability (SoA) – Det bör finnas en hänvisning till den specifika versionen av SoA som din leverantör har granskats mot, och du kan begära en kopia.Vissa organisationer utesluter kontroller som du kan förvänta dig vara på plats, och du kommer inte att vara medveten om detta utan att granska SoA.Självklart, om de har uteslutit kontroller, så är det början på en annan frågeställning: Undersök för att ta reda på vilka kompensatoriska kontroller som finns för att ge samma försäkran och en kvarstående risk som förhoppningsvis uppfyller dina behov.Certifieringsorganet ska bekräfta omfattningen, datum och version av SoA i den information som du begär.

För mer information om avancerad ISO 27001 utbildning, boka en plats på nästa ISO27001 Certifierad ISMS Lead Implementer Online.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.