System til informationssikkerhed ved hjælp af ISO 27001
Emnet “informationssikkerhed” bliver stadig mere afgørende for virksomheder midt i den digitale transformation. Uden tilstrækkelige sikkerhedsforanstaltninger er der risiko for tab og tyveri af data fra hackere, driftsforstyrrelser på grund af webbaserede angreb eller misbrug af data. Et alternativ til en struktureret tilgang er et ledelsessystem for informationssikkerhed (ISMS) i henhold til ISO 27001.
Hvad er ISO 27001?
ISO/IEC 27001 er den førende internationale standard for implementering af et holistisk ledelsessystem for informationssikkerhed. Den fokuserer på identifikation, vurdering og styring af risici for informationsstyringsprocesser. Sikkerheden af fortrolige oplysninger fremhæves som en vigtig strategisk faktor. Information omgiver os overalt og er en del af enhver proces. Nogle gange kan det være trivielt, men alt for ofte er det kritisk og fortroligt. For at kunne foretage denne vigtige sondring for din organisation er det nødvendigt at klassificere informationerne. Det skyldes, at beskyttelsesforanstaltningerne i et ledelsessystem for informationssikkerhed (ISMS) i henhold til ISO/IEC 27001 er baseret på denne klassifikation. Et ISMS skaber en ramme for at beskytte forretningsdata og deres fortrolighed. Samtidig sikrer den globalt anerkendte standard tilgængeligheden af de it-systemer, der er involveret i virksomhedens processer. I denne sammenhæng sender ISO 27001-certificering et stærkt signal til markedet: nemlig en uafhængig ekstern evaluering og bekræftelse af effektiviteten af dit ISMS. Med EN ISO/IEC 27001:2017-06 er der udgivet en version, der er koordineret af Den Europæiske Standardiseringsorganisation (CEN). Den kombinerer de to rettelser (corrigenda) Cor 1:2014 og Cor 2:2015. Ændringerne i forbindelse med rettelsen omfatter kun en forbedret beskrivelse af de relaterede krav, men ingen nye yderligere krav. Certifikater i henhold til ISO/IEC 27001:2013-versionen bevarer således deres gyldighed.
Hvem er ISO 27001-certificering egnet til?
ISMS-standarden ISO 27001 gælder i hele verden. Den giver virksomheder i alle størrelser og brancher en ramme til at planlægge, implementere og overvåge deres informationssikkerhed. Kravene gælder for og er bindende for private og offentlige virksomheder samt nonprofitorganisationer. I Tyskland skal virksomheder, der tilhører en sektor med kritisk infrastruktur (KRITIS), og som overskrider en tærskelværdi, f.eks. dokumentere, hvordan de sikrer deres informationssikkerhed. KRITIS-sektorer omfatter energi, vand, sundhed, finans og forsikring, fødevarer, transport og trafik, informationsteknologi og telekommunikation. Tilsvarende bevis for implementering kan leveres gennem sikkerhedsrevisioner, test eller certificeringer. Til dette formål kan enten anerkendte standarder som ISO 27001 eller alternativt branchespecifikke sikkerhedsstandarder, der er anerkendt af det tyske forbundskontor for informationssikkerhed (BSI), bruges som grundlag for revisionen.
Hvad gør ISO 27001-standarden nyttig for min virksomhed?
Implementering af et ISMS i henhold til ISO/IEC 27001 er en strategisk beslutning for din virksomhed. Overholdelse af de tilsigtede generelle krav i standarden skal afspejle virksomhedens specifikke situation. Implementering i virksomheden afhænger af behov og mål, sikkerhedskrav og organisatoriske processer samt virksomhedens størrelse og struktur. Særligt værdifuld for praksis er implementeringen af foranstaltningerne i bilag A til standarden. Ud over den ledelsessystemorienterede kravdel (kapitel 4-10) indeholder ISO-standarden en omfattende liste med 35 kontrolmål med 114 konkrete foranstaltninger for forskellige sikkerhedsaspekter i 14 kapitler i bilag A. Foranstaltningerne skal implementeres inden for rammerne af ledelsessystemet. Disse foranstaltninger skal implementeres som en del af ledelsessystemet, i det omfang de er relevante for din virksomhed. En konsekvent tilpasning af virksomhedens processer til ISO 27001 har vist sig at føre til flere fordele:
- Kontinuerlig forbedring af sikkerhedsniveauet.
- Reduktion af eksisterende risici.
- Overholdelse af compliance-krav.
- Øget bevidsthed blandt medarbejderne.
- Øget kundetilfredshed
Interne revisioner og ledelsesgennemgange, der involverer topledelsen, er de interne løftestænger til at opnå dette. Andre positive aspekter er, at interessenter som f.eks. tilsynsmyndigheder, forsikringsselskaber, banker og partnervirksomheder får større tillid til din virksomhed. Det skyldes, at et certificeret ledelsessystem signalerer, at din organisation håndterer risici på en struktureret måde og er forpligtet til løbende forbedringer (CIP), hvilket gør den mere modstandsdygtig over for uønskede påvirkninger. Den internationale standard ISO/IEC 27001 kan også implementeres, drives og certificeres uafhængigt af andre ledelsessystemer som ISO 9001 (kvalitetsstyring) eller ISO 14001 (miljøledelse).