Har din organisation det fulde overblik over, hvordan data gemmes og ikke mindst overføres mellem afdelinger og til eventuel tredjepart? Opbevarer I data fysisk eller digitalt, og diskuterer I følsomme data i offentlige rum? Og hvordan med opbevaringstiden?
Der er mange ting at tage stilling til, når det kommer til informationssikkerhed, og det kan være svært at finde hoved og hale i alle kravene.
Kravene i ISO 27001 handler om sund fornuft
I sidste ende handler mange af kravene i ISO 27001 om sund fornuft. Når du først får overblikket, vil du (forhåbentlig) opdage, at I er godt på vej og allerede arbejder med de påkrævede ting i større eller mindre grad. Dog uden at have været klar over det.
Ikke desto mindre er kravene i ISO 27001-standarden et vigtigt pejlemærke for din organisation. De er nemlig med til at sikre, at vigtige og følsomme informationer beskyttes efter reglerne, og at de kun er tilgængelige for de rette personer. Derudover hjælper de dig også med at få skabt en struktureret proces for arbejdet med informationssikkerheden.
Her får du en kort guide til, hvordan du kommer godt fra start.
1) Start med begyndelsen
Først og fremmest er det vigtigt at forstå, hvad ISO 27001 er, og hvilke krav standarden stiller til organisationens ledelsessystem til informationssikkerhed - også kendt som Information Security Management System (ISMS).
For eksempel er det et krav, at organisationen har en procestilgang til etablering, implementering, drift, overvågning, gennemgang, vedligeholdelse og forbedring af informationssikkerheden.
Et andet krav er, at organisationen anvender risikostyring som ledelsesredskab, så sikkerhedsforanstaltninger og kontrolprocedurer kan implementeres.
Kort og godt: Sæt dig ind i kravene, så du nøjagtigt ved, hvilke områder der skal arbejdes med.
2) Nedsæt et implementeringsteam
Intet system er bedre end de folk, der implementerer det. Vil du have succes med ISO 27001-certificeringen, skal der samles et hold af eksperter, som har de rette kompetencer til at udføre opgaven. Derudover skal ledelsen involveres, så der er fuld opbakning til projektet.
Med det på plads kan du:
- Udarbejde en informationssikkerhedspolitik
- Fastlægge mål for informationssikkerheden
- Definere og tildele roller og ansvarsområder
Derudover skal der lægges en plan for, hvordan I skaber opmærksomhed omkring informationssikkerheden på tværs af organisationen, så alle medarbejdere tager de nye systemer og processer til sig.
LÆS OGSÅ: Succes med compliance kræver de rette mennesker ved roret
3) Find en risk management-løsning
Risikostyring er en essentiel del af ISO 27001. Derfor skal du finde et redskab, der kan hjælpe med at skabe overblik over, hvordan potentielle risici kan påvirke dine følsomme oplysninger.
Valget af en risk management-løsning er et af de vigtigste faktorer i implementeringen af ISMS, og selvom ISO 27001 ikke specificerer, hvilken løsning du skal vælge, stilles der krav til funktionerne.
Dit risikostyringssystem skal blandt andet kunne:
- Vurdere risici relateret til fortrolighed, integritet og tilgængelighed
- Sætte mål og grænser for et acceptabelt risikoniveau
- Etablere målbare kriterier for, hvornår en risiko er acceptabel
4) Identificer risici og definer handlinger
Med det rette risikostyringssystem om bord, kan det reelle arbejde gå i gang. I forbindelse med opbevaring og deling af data skal I identificere, analysere og vurdere alle risici.
Her skal I kunne svare på:
- Hvad er kriterierne for acceptable og uacceptable risici?
- Hvilke handlinger skal vi gennemføre for at føre sikkerheden op på det ønskede niveau?
I denne proces skal I også tage højde for eventuelle juridiske, lovgivningsmæssige og kontraktlige forpligtelser.
5) Uddannelse af medarbejdere
Hvis ISO 27001-certificeringen skal blive en realitet, skal I afsætte ressourcer i form af både personale, tid og penge til at implementere ledelsessystemet til informationssikkerheden og de tilhørende sikkerhedsforanstaltninger.
Det er imidlertid mindst lige så vigtigt, at I afsætter ressourcer til uddannelse af organisationens medarbejdere, så alle, der kommer i kontakt med følsomme data eller ISMS-løsningen i sin helhed, får den nødvendige træning og uddannelse.
Det tager tid at få en ISO 27001-certificering, og derfor er vores bedste råd, at du starter tidligt. Der er ingen grund til at skubbe projektet foran dig. Så hellere komme i gang med det samme, så du kan vise omverdenen, at I tager informationssikkerheden alvorligt.
