System for informasjonssikkerhet ved hjelp av ISO 27001
Temaet “informasjonssikkerhet” blir stadig viktigere for bedrifter midt i den digitale transformasjonen. Uten tilstrekkelige sikkerhetstiltak er det fare for tap og tyveri av data fra hackere, driftsforstyrrelser på grunn av nettbaserte angrep eller misbruk av data. Et alternativ til en strukturert tilnærming er et styringssystem for informasjonssikkerhet (ISMS) i henhold til ISO 27001.
Hva er ISO 27001?
ISO/IEC 27001 er den ledende internasjonale standarden for implementering av et helhetlig styringssystem for informasjonssikkerhet. Den fokuserer på identifisering, vurdering og håndtering av risiko i forbindelse med informasjonshåndteringsprosesser. Sikkerheten til konfidensiell informasjon fremheves som en viktig strategisk faktor. Informasjon omgir oss overalt og er en del av alle prosesser. Noen ganger kan den være triviell, men altfor ofte er den kritisk og konfidensiell. For å kunne gjøre dette viktige skillet for organisasjonen, er det nødvendig å klassifisere informasjonen. Dette er fordi beskyttelsestiltakene i et styringssystem for informasjonssikkerhet (ISMS) i henhold til ISO/IEC 27001 er basert på denne klassifiseringen. Et ISMS skaper et rammeverk for å beskytte forretningsdata og deres konfidensialitet. Samtidig sikrer den globalt anerkjente standarden tilgjengeligheten til IT-systemene som er involvert i bedriftens prosesser. I denne sammenhengen sender ISO 27001-sertifisering et sterkt signal til markedet: nemlig en uavhengig ekstern evaluering og bekreftelse på effektiviteten til ISMS-et ditt. Med EN ISO/IEC 27001:2017-06 er det publisert en versjon som er koordinert av Den europeiske standardiseringsorganisasjonen (CEN). Den kombinerer de to rettelsene (corrigenda) Cor 1:2014 og Cor 2:2015. Endringene i forbindelse med rettelsen innebærer kun en forbedret beskrivelse av de relaterte kravene, men ingen nye tilleggskrav. Sertifikater i henhold til ISO/IEC 27001:2013-versjonen beholder dermed sin gyldighet.
Hvem passer ISO 27001-sertifisering for?
ISMS-standarden ISO 27001 gjelder over hele verden. Den gir bedrifter i alle størrelser og bransjer et rammeverk for å planlegge, implementere og overvåke informasjonssikkerheten. Kravene gjelder for og er bindende for private og offentlige selskaper samt ideelle organisasjoner. I Tyskland må for eksempel selskaper som tilhører en sektor med kritisk infrastruktur (KRITIS) og som overskrider en terskelverdi, vise hvordan de ivaretar informasjonssikkerheten. KRITIS-sektorene omfatter energi, vann, helse, finans og forsikring, mat, transport og trafikk, informasjonsteknologi og telekommunikasjon. Tilsvarende bevis på implementering kan leveres gjennom sikkerhetsrevisjoner, testing eller sertifiseringer. Til dette formålet kan enten anerkjente standarder som ISO 27001 eller alternativt bransjespesifikke sikkerhetsstandarder som er anerkjent av det tyske forbundskontoret for informasjonssikkerhet (BSI), brukes som grunnlag for revisjonen.
Hva gjør ISO 27001-standarden nyttig for min bedrift?
Implementering av et ISMS i henhold til ISO/IEC 27001 er en strategisk beslutning for bedriften din. Overholdelse av standardens generelle krav må gjenspeile bedriftens spesifikke situasjon. Implementeringen i bedriften avhenger av behov og mål, sikkerhetskrav og organisatoriske prosesser, samt bedriftens størrelse og struktur. Spesielt verdifullt for praksis er implementeringen av tiltakene i vedlegg A til standarden. I tillegg til den ledelsessystemorienterte kravdelen (kapittel 4-10) inneholder ISO-standarden en omfattende liste med 35 kontrollmål med 114 konkrete tiltak for ulike sikkerhetsaspekter i 14 kapitler i vedlegg A. Tiltakene må implementeres innenfor rammene av ledelsessystemet. Disse tiltakene må implementeres som en del av styringssystemet, i den grad de er relevante for din bedrift. En konsekvent tilpasning av bedriftens prosesser til ISO 27001 har vist seg å føre til flere fordeler:
- Kontinuerlig forbedring av sikkerhetsnivået.
- Reduksjon av eksisterende risikoer.
- Overholdelse av krav til etterlevelse.
- Økt bevissthet blant de ansatte.
- Økt kundetilfredshet
Interne revisjoner og ledelsens gjennomganger som involverer toppledelsen, er de interne virkemidlene for å oppnå dette. Andre positive aspekter er at interessenter, som tilsynsmyndigheter, forsikringsselskaper, banker og partnerbedrifter, får større tillit til bedriften din. Dette skyldes at et sertifisert styringssystem signaliserer at organisasjonen håndterer risiko på en strukturert måte og er opptatt av kontinuerlige forbedringer (CIP), noe som gjør den mer motstandsdyktig mot uønskede påvirkninger. Den internasjonale standarden ISO/IEC 27001 kan også implementeres, driftes og sertifiseres uavhengig av andre ledelsessystemer som ISO 9001 (kvalitetsstyring) eller ISO 14001 (miljøledelse).