ISO 27001 Implementering

Etablering, optimering og drift af ledelsessystem for ISO 27001/informationssikkerhed

Vi tilbyder rådgivning og sparring omkring alle faserne i forhold til implementering af ISO 27001-standarden. Det kan være et simpelt overblik over mangler (compliance-tjek) eller et samarbejde, hvor vi hjælper med at sikre fremdrift og nødvendig viden i organisationen, fx om gennemførelsen af risikovurderinger.

Implementering af ISO 27001 sker typisk som et selvstændigt ledelsessystem eller som en udvidelse af et eksisterende ISO 9001 kvalitetsledelsessystem. Uanset tilgangsvinklen anbefaler vi følgende overordnede plan, baseret på de klassiske faser Plan, Do, Check & Act.

Plan

1.       Definer projektet
Implementering af ledelsessystemer omfatter mange væsentlige beslutninger og medfører væsentlige ændringer i dagligdagen for mange medarbejdere. Det bør derfor betragtes som et større projekt i organisationen, hvilket omfatter opgaver som opstart, målsætning, organisering, planlægning og eksekvering.

2.       Definer politikker
Politikker beskriver ledelsens krav og forventninger til organisationen. Politikken for informationssikkerhed dækker det overordnede, men det er ofte relevant med andre mere konkrete politikker eks. politikker for backup, mobile enheder og passwords.

3.      Kortlæg processer
ISO 27001 implementeres gennem en række processer, hvor ledelsen og medarbejderne udfører de nødvendige handlinger for at opnå informationssikkerhed. Der er ikke en bestemt måde, hvorpå man skal organisere disse processer, så man kan vælge den tilgang, som er mest intuitiv eller effektiv. Kortlægningen omfatter eksisterende processer for informationssikkerhed, eksisterende processer for kvalitetsstyring/ledelse,  samt ønskede og forventede processer for informationssikkerhed.

4.      Oversigter over systemer, processer og andre aktiver (assets)
Informationssikkerhed har til formål at beskyttet det, som har betydning for virksomheden. Derfor er det en opgave at identificere relevante elementer som typisk omfatter systemer, processer, informationer, computere, netværk og medier.

5.      Risikovurdering
Vurderingen omfatter trusler, sårbarheder, konsekvenser, og manglende eller planlagte sikkerhedsforanstaltninger. Risikovurderingen har to formål. Det ene er at sikre, at virksomhedens risici mht. informationssikkerhed er systematisk identificeret og behandlet. Det andet formål er at fokusere og prioritere de områder, som konkret er de vigtigste for virksomheden. Risikovurdering af informationssikkerhed behøver ikke være en indviklet proces, men vil typiske have et væsentligt omfang.

6.       Gap analyse
Denne analyse har til formål at forstå implementeringsopgavens omfang og dermed også at finde løsninger til at nå målet.

7.      Overensstemmelseserklæring (Statement of Applicability)
Dette dokument (SoA) består af en liste med kontroller, der kan være relevante for en organisation at implementere som led i håndtering af risici. Organisationen skal til- og fravælge de kontroller, som skal indføres for at håndtere de identificerede risici. Dette er en væsentlig del af risikohåndteringen i forbindelse med informationssikkerhed.

8.     Godkendelse af planen
På dette tidspunkt er hovedparten af planlægningen gennemført, og der findes således et grundlag for, at ledelsen kan godkende, forbedre eller afvise den samlede og konsoliderede plan.

 Do

1.      Implementer organisation; roller og ansvar
De nye opgaver, som følger med implementering af informationssikkerhed, kan typisk opdeles i tre typer: ledelse, specialist og generelle. Ledelsesopgaver handler dels om ledelsessystemet (eks. kunder og informationssikkerhed, politikker, overensstemmelse og ledelsens evaluering) og dels om et dagligt driftsansvar for ledelsessystemet (rollen kaldes ofte en CISO). Specialistopgaver vil eks. være IT-opgaver omkring adgangskontrol, backup og opdatering. Endelige så vil de fleste skulle leve op til generelle krav om adfærd eks. beskyttelse af passwords, håndtering af følsomme informationer og påpasselighed omkring tvivlsomme mails.

2.      Definer procedurer og instruktioner
En række af opgaverne omkring informationssikkerhed vil skulle udføres jævnligt og på samme måde (uanset tidspunktet og den udførende person). Procedurer og instruktioner er en hjælp til dette og giver også klarhed om, hvad der skal gøres.

3.      Uddannelse og bevidsthed (awareness)
Ofte er virksomhedens ansatte den største sikkerhedsmæssige risiko. Der skal derfor være fokus på deres kompetencer og bevidsthed. Midlerne indenfor dette område er løbende kommunikation og uddannelse.

4.      Implementer kontroller
Praktisk implementering af de kontroller, som er beskrevet i overensstemmelseserklæring (Statement of Applicability) er ofte en omfattende opgave, som involverer mange i organisationen.

5.      Registrer/dokumenter udførelse
Driften af ledelsessystemet skal dokumenteres ved at opsamle relevante registreringer og dokumentere disse. Udover at være en praktisk foranstaltning, for at skabe et godt samarbejde om opgaverne, så er dette også input til overvågning og måling.

Check

1.     Overvågning, måling, analyse og evaluering
Disse emner giver svar omkring informationssikkerhed ved at adressere spørgsmål som: Hvad sker der med vores informationssikkerhed? Hvor mange hændelser har vi og af hvilken salgs? Udfører vi vores procedurer? Når vi vores mål? Er der noget, vi skal håndtere bedre?

2.     Intern audit
Audit handler om at eftervise, at implementeringen er i overensstemmelse med definerede processer, procedurer og instruktioner. Intern audit er virksomhedens egenkontroller, som udføres løbende for at identificere evt. problemer så hurtigt som muligt.

3.     Ledelsens evaluering
Formålet med ledelsens evaluering er at sikre et fortsat aktuelt og effektivt ledelsessystem, som matcher virksomhedens behov og strategi. Udover at forholde sig til præstation og effektivitet så handler det også om ressourcer, risikohåndtering og muligheder for forbedring.

Act

1.      Håndter afvigelser
Håndtering af uhensigtsmæssige situationer vil normalt være opdelt i flere faser, idet nogle forhold omkring informationssikkerhed handler om hurtig håndtering eks. cyberangreb eller strømafbrydelse. Beredskabsplaner bør udarbejdes for at understøtte dette, hvilket også er en del af de tidligere nævnte kontroller for informationssikkerhed. Andre afvigelser behøver ikke så hurtig håndtering og kan derfor håndteres langsommere og mere systematisk ligesom eks. generel læring fra afvigelser.

2.      Løbende forbedring
Den løbende forbedring kan være problemorienteret i den forstand, at afvigelser analyseres for at iværksætte præventive handlinger, så de ikke sker igen. En anden mulighed er at tage udgangspunkt i at modne processerne efter en fast forbedringsmodel. Et eksempel er, at processerne arbejdes igennem faserne: udført, styret (planlagt og monitoreret), standardiseret (stor grad af ensartethed i udførelsen), forudsigelig (stor grad af ensartethed i resultater) og optimeret (kontinueret forbedret for bedre resultater).

3.      Forbered certificering
Ikke alle organisationer ønsker en ekstern certificering, men ønsker man dette, så skal denne aktivitet også planlægges. Typiske er der en forberedelsesfase, hvor data, der viser implementering, opsamles, en systemfase, hvor ledelsessystemet godkendes, og en implementeringsfase, hvor der udføres ekstern audit af implementeringen.