Pomiń do treścidotlaw
Toggl Track
Toggl Track·IT
#ISO 27001#Szkolenia#Testy#Audyt

Toggl uzyskał ISO 27001 bez zatrzymywania operacji.

Dzięki dotlaw udało nam się nie tylko z sukcesem przejść audyt, ale przede wszystkim podejść do niego z przekonaniem, że podczas wdrożenia zadbano o każdy szczegół.

Alari Aho · CEO, Toggl Track

Kluczowe rezultaty

Kluczowe rezultaty.

Pełna zgodność z ISO/IEC 27001:2022, solidne fundamenty pod kolejną certyfikację SOC 2 Type 2

Zespoły SecOps i Legal & Compliance pracują efektywniej, mniej manualnych czynności, lepsza kontrola nad bezpieczeństwem danych

Klienci korporacyjni którzy wcześniej blokowali kontrakty na etapie weryfikacji dostawców, teraz przechodzą przez ten etap sprawnie

Cały międzynarodowy zespół rozumie swoje obowiązki w zakresie bezpieczeństwa, nie jako suche procedury, ale jako realną praktykę dnia codziennego

Kontekst

Certyfikat który otwiera drzwi do enterprise.

Klienci enterprise mają jeden wymóg zanim podpiszą kontrakt z dostawcą SaaS: certyfikat bezpieczeństwa informacji. Dla Togglea, estońskiego dostawcy narzędzi do time trackingu z tysiącami klientów globalnie, ISO 27001 był biletem do większych kontraktów i szybszych negocjacji.

Problem: w pełni zdalny zespół rozproszony po całym świecie, brak fizycznej infrastruktury IT i realna obawa że certyfikacja oznacza miesiące dokumentacji które zatrzymają codzienne operacje. Toggl potrzebował certyfikatu który działa na ich warunkach, nie odwrotnie. Toggl to estońskie przedsiębiorstwo oferujące narzędzia w modelu SaaS. Najbardziej znany produkt, Toggl Track, to popularna aplikacja do time trackingu. Zespół pracuje w 100% zdalnie, jest rozproszony po różnych krajach i obsługuje tysiące klientów na całym świecie.

Wyzwania

Z czym Toggl musiał sobie poradzić.

Przed rozpoczęciem wdrożenia Toggl mierzył się z wyzwaniami które są typowe dla szybko rosnących firm technologicznych, ale w połączeniu z modelem w pełni zdalnym tworzyły wyjątkowo złożoną sytuację.

Brak sformalizowanych procesów zarządzania ryzykiem i dostawcami, trudna kontrola nad przepływem danych przez organizację i jej partnerów

Brak fizycznej infrastruktury IT i rozproszenie zespołu po świecie, standardowe podejście do bezpieczeństwa nie zadziała w modelu w pełni zdalnym

Klienci korporacyjni wymagają audytowalnych dowodów zgodności, bez nich negocjacje się przeciągają albo nie dochodzą do skutku

Krzewienie kultury bezpieczeństwa w międzynarodowym zespole wymagało prostych, jednoznacznych procedur i skutecznych szkoleń

Obawa przed nadmierną biurokracją, ISO 27001 kojarzy się z rozbudowaną dokumentacją która mogłaby zaburzyć elastyczność operacyjną

Rozwiązanie

System bezpieczeństwa który działa na narzędziach Togglea.

Kluczowe było zbudowanie systemu bezpieczeństwa który działa na narzędziach których Toggl już używa, zamiast nakładać nową warstwę procesów na istniejące operacje.

01

Dokumentacja w Notion

Polityka bezpieczeństwa wdrożona w narzędziu które Toggl już miał w stacku. Dostępna dla audytorów i zespołów jednocześnie, bez wymuszania zmian w workflow.

02

Centralny system zarządzania dostawcami

Szybsza i bardziej efektywna weryfikacja partnerów biznesowych. Każdy nowy dostawca przechodzi standardowy proces oceny ryzyka, bez ad-hoc decyzji.

03

Zarządzanie ryzykiem zintegrowane z operacjami

Risk register utrzymywany przez Toggl team z naszym wsparciem. Decyzje o ryzyku podejmowane przez ludzi którzy znają biznes, nie przez external auditors.

04

Szkolenia dostosowane do zespołu

Zamiast generic security trainings, kontekstualizowane sesje dla SecOps, Engineering, Customer Support i Sales. Każdy zespół rozumie SWOJE obowiązki.

Proces

Pięć etapów do certyfikatu.

  1. 01

    Audyt wstępny i identyfikacja luk

    Analiza stanu obecnego, mapowanie aktywów i wskazanie obszarów wymagających poprawy.

  2. 02

    Ocena ryzyk

    Identyfikacja i ocena ryzyk, określenie kontekstu, ocena podatności.

  3. 03

    Wdrożenie polityk i procedur

    Opracowanie dokumentacji zgodnej z ISO 27001 przy współpracy z zespołami Togglea.

  4. 04

    Szkolenia i testy systemowe

    Budowanie świadomości bezpieczeństwa w całym rozproszonym zespole.

  5. 05

    Wsparcie audytowe i certyfikat

    Przeprowadzenie przez audyt i uzyskanie certyfikatu ISO/IEC 27001:2022.

Wartość

Nie tylko certyfikat.

Nowe możliwości sprzedażowe

Certyfikat otworzył drzwi do współpracy z większymi klientami korporacyjnymi i wyraźnie przyspieszył procesy negocjacyjne, które wcześniej utykały na etapie weryfikacji dostawców.

ISO 27001 zintegrowane z operacjami

Bez zbędnych procedur, bez długu operacyjnego. System bezpieczeństwa działa w narzędziach, których Toggl używał już wcześniej.

Realna kultura bezpieczeństwa

Cały międzynarodowy zespół rozumie swoje obowiązki i stosuje je w praktyce, nie jako suche procedury, ale jako część codziennej pracy.

Fundamenty pod kolejne certyfikaty

SOC 2 Type 2 i ISO 27701 są teraz realnie osiągalne, solidna baza oznacza, że Toggl nie zaczyna od zera przy każdej kolejnej certyfikacji.

Alari Aho

Słowem klienta

Eksperci z dotlaw pomogli nam nie tylko uzyskać certyfikację ISO 27001, ale przede wszystkim przejść przez cały proces w sposób zorganizowany i dopasowany do naszej firmy. Od pierwszego audytu wewnętrznego, przez planowanie wdrożenia i analizę naszych procesów, aż po szkolenia i audyt certyfikujący, byli z nami na każdym etapie, odpowiadając na nasze pytania i pomagając rozwiązać pojawiające się wyzwania. To dzięki ich wsparciu udało nam się zintegrować ISO 27001 z naszymi istniejącymi procesami i skutecznie przygotować się do uzyskania certyfikatu.

FAQ

Najczęściej zadawane pytania.

  • Wdrożenie ISO 27001 w zdalnej firmie SaaS wymaga dostosowania standardowych wymogów do specyfiki organizacji bez fizycznej infrastruktury. Kluczowe jest zbudowanie systemu zarządzania bezpieczeństwem informacji opartego na narzędziach, które zespół już używa, zamiast nakładać nową warstwę procesów. Polityki bezpieczeństwa, zarządzanie dostawcami i szkolenia muszą działać w środowisku rozproszonym. Toggl przeprowadził pełne wdrożenie ISO 27001 bez zatrzymywania operacji, integrując dokumentację bezpośrednio w Notion.

Twoja firma potrzebuje certyfikatu, bez zatrzymywania tego co budujesz.

Porozmawiajmy o wdrożeniu ISO 27001, które działa wokół Twojego workflow, a nie odwrotnie.

Porozmawiajmy