Hur Docue uppnådde ISO 27001-certifiering på sina egna villkor

Hur Docue uppnådde fullständig ISO 27001-certifiering i hela sin organisation och klarade revisionen med noll större avvikelser med hjälp av Cyberday.

100%
Slutförande av ISO 27001
0
större avvikelser i revisionen
Industri
Programvara

Använda ramverk

Docue är ett snabbväxande legal tech-företag som hjälper företag att skapa juridiskt bindande dokument snabbt och säkert. Deras smarta plattform kombinerar automatisering, expertbyggda mallar och elektronisk signering i en och samma lösning.

Idag förlitar sig små och medelstora företag i hela Europa på Docue för att hantera allt från anställningsavtal till kommersiella avtal, med lokalt anpassat juridiskt innehåll för Finland, Sverige, Tyskland, Storbritannien och Polen.

I takt med att kundbasen växte, särskilt med stora, säkerhetsmedvetna företag, behövde Docue stärka sin informationssäkerhet. Istället för att anlita konsulter eller starta ett komplext projekt vände de sig till Cyberday.

Pressen på efterlevnad börjar

Docue hade starka säkerhetsrutiner på plats från början, särskilt när det gällde produktutveckling och underhåll. Men dessa rutiner var inte formellt dokumenterade eller strukturerade enligt något erkänt ramverk för efterlevnad.

"Vi siktade inte på ett certifikat från början", säger Lars Remes, produktchef och CISO på Docue. "Men våra kunder, varav några var stora börsnoterade företag, började ställa frågor. Så småningom blev pressen att bevisa efterlevnad oundviklig."

NIS2 och nationella cybersäkerhetslagar bidrog ytterligare till denna brådska. Docue insåg att ISO 27001-certifiering snart skulle bli ett grundläggande krav för leverantörer som dem.

De behövde en lösning som inte skulle dra bort teammedlemmar från deras kärnarbete.

"Vi utvärderade olika lösningar. Det som tilltalade oss med Cyberday var att vi fick verktyg och kunskap för att hantera arbetet själva, i vår egen takt."
Lars Remes, Product Manager & CISO, Docue

Ett system som passar

Docue valde Cyberday eftersom det gav dem kontroll. "Vi kunde komma igång direkt, utan att behöva planera in en kick-off-workshop eller göra en stor projektplan", säger Lars.

Även om de inte hade ett certifieringsmål från början gav Cyberday dem en konkret väg framåt. De började i liten skala, fick insyn i vad som behövde göras och involverade gradvis fler personer från ekonomi, administration och andra avdelningar.

"Det var viktigt att vi kunde börja använda systemet utan att behöva binda upp oss för ett stort projekt", säger Lars.

Cyberdaystrukturerade uppgiftslistor, rollfördelningar och kontrollpanel hjälpte Docue att strukturera vad som var ett betydande, månadslångt arbete.

"Vi satte bara upp ett mål: allt måste vara grönt under Cyberday. Det gjorde processen mer spelbetonad på ett bra sätt."

"Cyberday hjälpte oss att hålla koll på processen, men certifieringen krävde ändå ett uthålligt engagemang från hela företaget", säger Lars.

Hur man utnyttjar Cyberday

Riskbaserad hantering av efterlevnad

Ditt säkerhetsteam kan automatisera riskbedömningar och koppla åtgärder för att minska riskerna direkt till efterlevnadskraven.

Sömlös hantering av policyer och dokumentation

Istället för att jonglera med flera kalkylblad och dokument kan du med vår plattform hantera alla policyer, kontroller och revisionsbevis på ett och samma ställe.

Automatiserad rapportering

Det går nu snabbt och automatiserat att generera rapporter för revisioner och tillsynsmyndigheter, vilket minskar de administrativa kostnaderna.

Lärdomar som dragits

Lars råd till andra: Sätt upp realistiska mål tidigt. Sträva inte efter perfektion. Fokusera på det som är kritiskt och förbättra dig därifrån.

Många team överkomplicerar ISO 27001 genom att försöka implementera alla möjliga kontroller direkt. Lars rekommenderar det motsatta:

"Standarden kräver en eller flera kontroller för varje ämne. Cyberday gjorde det lätt att identifiera befintliga kontroller och gav idéer till nya."

Lars rekommenderar att varje organisation definierar sin egen målnivå när man börjar. Det gör det lättare att gå vidare, undvika att fastna och bygga en solid bas för ständiga förbättringar.

"Vi försökte göra allt perfekt på en gång. Så här i efterhand hade det räckt att börja enklare och bygga vidare."

Detta förändrade tankesätt hjälpte teamet att undvika onödigt arbete, samtidigt som man uppfyllde kraven och klarade revisionen utan anmärkning.

Vi går vidare

Docues ISO 27001-certifiering följde på en omfattande, oberoende revision, och de klarade den på första försöket, utan några större avvikelser. Det var en betydande insats för hela företaget, som omfattade alla team och verksamheter inom hela Docue Group.

"Nu har vi ett system på plats. Vi arbetar med ständiga förbättringar och Cyberday hjälper oss att hålla fast vid det", säger Lars.

Men certifieringen är inte slutpunkten. För att upprätthålla den krävs årliga revisioner, regelbundna interna granskningar och ett engagemang för ständiga förbättringar. Docue fortsätter att investera i sitt säkerhetshanteringssystem för att ligga steget före nya hot och förväntningar.

Cyberday gav dem strukturen för att hantera arbetet internt och på deras villkor, utan att göra det till ett tungt projekt.

Resultatet blev? En framgångsrik ISO 27001-certifiering, bättre intern anpassning och ett skalbart sätt att möta nya krav på säkerhet och efterlevnad.

Starta en gratis Cyberday och bygg ett säkerhetsprogram som passar ditt team, på dina egna villkor.