Målet med en GAP-analyse er å identifisere områder som trenger forbedring for å oppnå samsvar med standarden, i dette tilfellet ISO 27001.
En GAP-analyse for ISO 27001 er en systematisk prosess som hjelper organisasjoner med å sammenligne deres nåværende informasjonssikkerhetsstyringssystem (ISMS) med kravene i ISO 27001-standarden.
GAP-analysen gjennomføres ute hos kunden sammen med en rådgiver fra Kiwa. Vi tar utgangspunkt i dagens håndtering av informasjonssikkerhet og kartlegger hva som gjenstår for å tilfredsstille kravene i ISO 27001. GAP analysen omfatter også vurdering av informasjonssikkerhetstiltakene i ISO 27002.
Kunden vil få tilsendt en sluttrapport med våre anbefalinger, slik at arbeidet med å tilfredsstille kravene kan gjennomføres på en tidseffektiv og målrettet måte.
Prosessen innebærer
- En detaljert gjennomgang av organisasjonens nåværende informasjonssikkerhetsprosesser og -kontroller.
- En sammenligning av eksisterende prosessene med kravene og kontrollene som er beskrevet i ISO 27001. Man går gjennom nåsituasjonen med kravene i standarden
- Identifisering av områder hvor organisasjonens nåværende ISMS ikke møter standardens krav.
- Utarbeidelse av en rapport som beskriver de identifiserte områdene hvor organisasjonen ikke møter standardens krav, dokumentere disse og gi anbefalinger for hvordan disse kan lukkes.
- Utvikling av en handlingsplan for å adressere de identifiserte GAPs og forbedre organisasjonens ISMS. Dette gjøres gjennom å lage en detaljert plan for hvordan gapene skal lukkes, inkludert tidsramme og ansvarlige ressurser
Deretter blir det bedriftens ansvar å Implementere forbedringene, samt utføre nødvendige endringer, for å lukke identifiserte gap og møte standardens krav. Det er vanlig å gjennomføre en intern revisjon for å sikre at alle gap er lukket og man samsvarer med ISO 27001.
GAP-analysen skal bidra til at selskap og organisasjoner får en bedre forståelse av nåsituasjonen, samt gi dem en veiledning mot sertifisering og forbedret informasjonssikkerhet.
En grundig GAP-analyse vil ogå gi et solid grunnlag for å oppnå sertifisering og forbedre organisasjonens informasjonssikkerhet.
Fordelene med en GAP-analyse for ISO 27001
- Identifisere mangler: En GAP-analyse hjelper til med å identifisere områder hvor organisasjonens nåværende informasjonssikkerhetsprosesser ikke nødvendigvis møter standardene satt i ledelsessystem for informasjonssikkerhet; ISO 27001.
- Prioritering av endringer: GAP-analysen skal gi bedre innsikt i hvilke områder som trenger forbedring. Den hjelper også selskapet med å prioritere og foreta endringer i henhold til standarden
- Planlegging for sertifisering: Analysen gjør det mulig for organisasjonen å planlegge implementeringen av kontroller og planlegge og tidsplanlegge sertifisering i henhold til ISO 27001.
En GAP-analyse er et godt verktøy, for å sikre at selskap kan oppnå en ISO-sertifisering for 27001. Dette er en investering i selskapers sikkerhet og fremtidige suksess, og krav som kommer fra kunder og markedet.