6 grunde til at implementere ISO 27001

Informationssikkerhed dækker og tiltag til at sikre informationer i forhold til fortrolighed, integritet og tilgængelighed. Her beskriver vi, hvorfor ISO 27001 er en af de standarder, hvis udbredelse vokser hurtigst.

6 grunde til at implementere ISO 27001

Share:

Standarden ISO 27001 definerer kravene til styring af informationssikkerhed – også kaldet et informationssikkerheds managementsystem (ISMS). Dette omfatter politikker, regler, processer og systemer til ledelse af informationssikkerhed for at undgå og håndtere risici, cyberangreb, hackerangreb, datatab og datatyveri. Standarden omfatter best practice indenfor området.

Alle offentlige virksomheder er i dag underlagt at følge principperne i ISO 27001. Standarden er desuden et godt afsæt til at håndtere kravene i persondataforordningen (GDPR).

Gør vi nok, og det rigtige, for at lede informationssikkerhed?

Følgende spørgsmål er gode at stille:

  • Er vores informationssikkerhed tilpasset de faktiske behov jf. vores firmas forretning?
  •  Informeres topledelsen periodisk om risici vedr. informationssikkerhed og deres håndtering?
  • Er top- og linjeledelse involveret i strategiske beslutninger om firmaets informationssikkerhed?
  • Er ansvaret klart omkring ejerskab og implementering af strategier, politikker og processer for informationssikkerhed?
  • Er det klart, hvem der har ansvar for databeskyttelse og GDPR?
  • Bliver medarbejderne løbende informeret om trusler vedr. informationssikkerhed?
  • Hvor gemmer vi følsomme og vigtige data – og hvem sikrer adgang og beskyttelsen?
  • Har vi klarlagt, hvilke afdelinger og funktioner der har de højeste risici vedr. informationssikkerhed og har vi taget de rigtige modforholdsregler?
  • Er linjeledelsen involveret i beslutninger om informationssikkerhed i deres områder?
  • Ved vi, hvad vi betaler til informationssikkerhed og kan dette retfærdiggøres?

Hvis svarene ikke rammer højt nok, så er ISO 27001 med stor sikkerhed et relevant træk.

Seks grunde til implementering af ISO 27001

Hvorfor implementere ISO 27001 om informationssikkerhed.png

Beskyt dit firmas omdømme og image

Truslen fra cyberangreb stiger løbende i takt med, at vi bliver mere afhængige af IT. Uden effektiv ledelse af informationssikkerhed stiger både risikoen og konsekvensen af succesfulde angreb. Et ledelsessystem (ISMS) giver praktiske mekanismer til at holde vigtige og fortrolige oplysninger tilstrækkeligt beskyttet i egen organisation. Og det giver relevant information til beslutningstagere, så de har et overblik og kan tage oplyste beslutninger, der tilsammen sikrer beskyttelse, integritet og tilgængelighed (ofte benævnt "CIA") af virksomhedens essentielle data.

Få adgang til større og bedre markeder

Sikkerhed giver troværdighed, hvilket igen leder til bedre konkurrenceevne. Mange kunder har fokus på, at deres leverandører ikke må udgøre en risiko for dem. I visse brancher er sikkerheden endda den mest afgørende faktor, og der er stigende krav om databehandleraftaler, der også indeholder krav til informationssikkerhed. Opbevarer din virksomhed følsomme data, eller har adgang til dem, så bliver firmaets sikkerhed måske afgørende for prioritering og interesse hos kunderne. Opmærksomhed på beskyttelse af kundernes sikkerhed viser sand interesse for dem.

Undgå bøder og tab ved brud på datasikkerheden

Prisen for brud kan være meget voldsom. Ved tab af personfølsomme oplysninger er udgangspunktet 2 eller 4% af omsætningen. Men prisen for nedetid, reetablering og håndtering kan også være meget stor. Informationssikkerhed handler om at forholde sig systematisk og seriøst til risici forbundet med data, systemer og mennesker. Ledelse af informationssikkerhed giver goodwill udadtil og eks. typisk bedre forsikringsvilkår.

Overhold lovgivningen og andre vigtige krav

Standarden indeholder en risikovurdering med udgangspunktet i relevante krav, som omfatter forretningsmæssige krav, kontraktuelle krav og lovgivningen eks. GDPR. Nogle brancher har særlige krav (eks. finanssektoren) og kræver i praksis en robust infrastruktur, ud fra hvilken, det kan implementeres. Implementeringen af ISO 27001 kan verificeres gennem audit og organisationen kan opnå certificering.

Skab klarhed om ansvar for informationssikkerhed

Informationssikkerhed dækker bredt i en organisation; ledelsen stiller krav og følger op, specialisterne skaber løsninger og implementerer, mens meget i praksis afhænger af medarbejdernes handlinger og indstilling. Et ISMS giver organisatorisk struktur og fokus, da ansvar knyttes til personer. Og det gør deling af informationer til en styret affære. Endvidere inddrages afdelinger og funktioner i den gode løsning.

Alle områder kræver optimering

Sikkerhed kan ses som en slags forsikring mod problemer, og dermed er det også afgørende, hvad prisen er, når disse problemer holdes fra døren. Håndteringen af negative hændelser koster, men med den rette indsigt og analyse kan de minimeres eller helt undgås, og dermed også mange omkostninger forbundet hermed, utilfredse kunder og væsentlige interessenter, herunder ikke mindst medarbejdere. Strukturering og optimering af arbejdsprocesserne omkring informationssikkerhed giver desuden bedre effektivitet gennem indsigt i virksomhedens systemer, deres brug og tilhørende data-processer.