Norsk
NO

Informasjonssikkerhet – ISMS compliancesoftware

oversikt og en handlingsplan, slik at dere kan sette informasjossikkerheten i system

ISO- og ISAE-compliance med RISMAs ISMS-løsning

RISMA har utviklet en GRC-plattform som kan håndtere alle de daglige gjøremålene forbundet med governance, risk og compliance.

Plattformen hjelper og veileder deg og din virksomhet til effektivt, og gjennom et bredt overblikksbilde, å håndtere og dokumentere informasjonssikkerten slik at dere kan leve opp til standardene beskrevet i ISO 27001 type 1 og 2, samt i ISAE 3402.

Dere kan også få hjelp til å håndtere informasjonssikkerheten etter ISO 27701, som ledd i arbeidet med GDPR.

Med andre ord er vårt system mer enn et Information Secuity Management System. Dere får en plattform hvor dere kan samle alle compliance-prosjekter på tvers av organisasjonen – inklusiv GDPR – samtidig som dere får mulighet for å dokumentere at dere lever opp til ISO 27001-standarden.

ISMS-compliance gir deg

Forretningsoversikt
Minimering av risiko
SOA-dokumentasjon
Økt effektivitet
Konkurransefordeler
Checkmark - compliance solutionCheckmark - compliance solutionCheckmark - compliance solutionCheckmark - compliance solutionCheckmark - compliance solution

Informasjonssikkerhet er et nødvendig tilvalg

Som ansvarlig for informasjonssikkerheten i din organisasjon kan du sannsynligvis kjenne deg igjen i å oppleve press fra både eksterne interessenter og interne linjer om å etterleve standarden for informasjonsikkerhet, som beskrevet i ISO 27001.

Dette er en omfattende, men også svært viktig oppgave. Risikolandskapet endrer seg, og stiller konstant nye krav til sikkerhet.

Håndteringen av tilbakevendende sikkerhetsoppgaver, samt dokumenteringen for hvordan ISO 27001-standarden med sine 114 kontrollmål i Annex A etterleves kan derfor være utfordrende.

Heldigvis er det hjelp å få, slik at med litt veiledning kan nå dette målet.
Book demo nå

Få hjelp til å håndtere informasjonssikkerheten

Med vårt ISMS-verktøy til ISO 27001 får du:

  1. Hjelp til å sette IT- og informasjonssikkerheten i system i hele organisasjonen
  2. Oversikt gjennom en komplett kartlegging av informasjonsaktiva
  3. Et verktøy til risikovurderin og -styring
  4. En transparent plan med oppfølgende handlinger og tiltak
  5. Hjelp til å opprettholde en kontinuerlig styring av kontrollmålene
  6. Et prosessbibliotek som strukturer dine interne politikker og prosedyrer
  7. Mulighet for å følge opp på IT-leverandører, og føre tilsyn med databehandlere
  8. Oversikt, slik at dere kan definere en politikk for egen informasjonssikkerhet
Sagt med andre ord omdanner løsningen de mange Annex A kontrollmålene i ISO 27001 til praktiske oppgaver, prosedyrer og politikker. Dermed blir det enklere for deg og dine kollegaer å håndtere konkrete sikkerhetsbehov på tvers av organisasjonen.

Løsningen inneholder også muligheten for å liste alle aktuelle informasjonsaktiva, slik som de IT-systemene som brukes i organisasjonen. Denne listen kan du videre ta utgangspunkt i for å gjennomføre nødvendige risikovurderinger i tråd med ISO 27001. Risikoanalysene får dere dessuten full oversikt over gjennom det integrerte modulet for risikostyring.

Dessuten kan du trekke rapporter som utgjør et komplett SoA-dokument (Statement of Applicability), slik at du kan levere dokumentasjon til eksempelvis ledelsen eller IT-sikkerhetsrevisorer.
Book demo

ISMS-løsningens funksjoner

Her får du en oversikt over mange av funksjonene i vår ISMS-løsning, som hjelper og veileder deg og din organisasjon til å leve opp til ISO 27001-standarden, og oppnå compliance innen informasjonssikkerhet.

Risikostyring

RISIKOVURDERINGER

Dere får hjelp til å utarbeide risikovurdering i relasjon til de enklete systemer. Risikovurderingene hjelper dere å skape oversikt, slik at dere kan avgrense innsatsen til de forretningsområder hvor det foreligger et større risikogrunnlag, samt vurdere konsekvensen dersom en hendelse skulle intreffe.

KARTLEGGING

Dere får et visuelt overblikk over de mest sårbare systemene i deres IT-landskap, og kan definere trusler og sårbarheter ved hjelp at tilhørende kataloger for typiske sårbarheter og trusler for informasjonssikkerhet.

Gap-analyse

Dere får hjelp til å utarbeide analyser i relasjon til standardens Annex A-kontrollmål. Når dere først er bekjent de konkrete gaps kan dere også vurdere hvilke mitigerende handlinger som skal prioriteres for å lukke dem, slik at kontrollmålene overholdes og risikoen reduseres.

Oversikt

TILSYN MED IT-SYSTEMER

Funksjonen gir dere mulighet for enkelt å liste IT-systemer og deres tilhørende databehandlere, slik at dere kan føre tilsyn og vurdere risikoen til hvert aktiva.

INTERN REVISJON

Med intere revisjoner får dere oversikt over hvilke handlinger dere skal iverksette for å oppnå compliance på tvers av organisasjonen.

Policy Management

Ved hjelp av prosessbibliotektet har dere mulighet for å sette struktur på de interne politikker og prosedyrer, samt øke bevisstheten omkring dem.

Compliance

MITIGERENDE HANDLINGER

Du kan iverksette konkrete handlinger og handlingsplaner som bidrar til å skire at dere får redusert eventuelle gaps. Dere kan dessuten følge fremdriften på de ulike handlingene etterhvert som de iverksettes.

KONTROLLER

Med løpende kontroller kan dere sørge for at gaps forblir lukket, og at gjentagende oppgaver utføres til tiden. Dette sikrere dere en kontinuerlig compliance og understørrer dermed  kontrollmålene i Annex under ISO 27001.

DOKUMENTASJON

Du kan enkelt dokumentere arbeidet med infomasjonssikkerhet ved å trekke rapporter som utgjør et komplett SoA-dokument, fremdriften på handlingsplanene, samt innsatsen med risikoanalyser.

Governance

OVERSIKT OG KONTROLL

Dere kan enkelt holde oversikten over arbeidet ved hjelp av et gnatt-diagram, samt et årshjul for kontroller.

AUTOMATISER PROSESSER

Dere kan automatisere prosesser som forenkler delegering av oppgaver i organisasjonen, og bidrar til å sikre at oppgavene gjennomføres til tiden.

SKAP AWARENESS

Ved hjelp av systemets awareness-funksjon kan dere enklet formidle oppdateringer i interne politikker og prosedyrer, og få bekreftet at de er lest og godkjent.
Vi viser deg gjerne hvordan systemet virker! Klikk her for å book en demo
Book en demo

ISO 277001 – Kombinert ISMS- og GDPR-løsning

Helt overordnet kan du få orden på virksomhetens informasjonssikkerhet gjennom rettig håndtering og kontrollering av prosesser, lovkrav, IT-sikkerhet og medarbeideres atferd. Alt dette er vår ISMS-løsning utviklet til å hjelpe dere med.

Informasjonssikkerhet spiller likevel også en stor og viktig rolle i persondataloven, som nettopp har til formål å sikre skrepet informasjonssikkerhet, skape transparens, og sikre at de registereds rettigheter overholdes i takt med at personlige opplysninger strømmer gjennom virksomheten.

Du kan derfor velge å kombinere en ISMS-løsning og en GDPR-løsning, slik at du og kollegane dine kan arbeide synkront mot etterlevelsen av både persondataloven og ISO 27701-standarden.

Les mer om RISMAs GDPR-løsning her.

Plattformen gjør det dessuten mulig å få et komplett bilde over deres risikolandskap, da dere kan vurdere og håndtere risiko for både organisasjonen og de registerte på et og samme sted.

Les mer om RISMAs RISK-løsninger her.  

Book a demo i dag, og hør mer om hvordan vi best kan hjelp din organisasjon.
Book demo

Hva er ISO/IEC 27701?

ISO/IEC27701 er standarden for privatlivsbeskyttelse, hvilket så dagens lys i august 2019.

Den er også kjent som «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines".

Ifølge Standard Norge fungerer ISO 27701 som et ledelsesverktøy, hvilket gir innsyn i den arbeidsflyt og de tiltak som organisasjoner burde etablere for å oppnå tilstrekkelig beskyttelse av personoplysninger.

ISMS-løsningen, trinn for trinn

2
3
4
5
1
1
Risikovurdering – Det første steget handler om å identifisere de mange risikoer som kan utgjøre en trussel for virksomhetens eksiterens. Det kan for eksempel handle om virusutbrudd, tyveri, hacking, ransomware eller systemnedbrudd. Risikovurderingene hjelper dere med å få oversikt, slik at innsatsen kan fokuseres på å nedbringe områder med særlig stor risiko, eller kritiske konsekvenser. Risikovurderingene tar utgangspunkt i en trussel- og sårbarhetshatalog, samt i sannsynlig. Deretter foretas en konsekvensvurdering etter egen oppsetning – eksempelvis basert på FIT
Informasjonsakriva – Her skal de relevante informasjonsaktiva for informasjonssikkerhet identifiseres. Det vil si dataansvarlige, databehandlere, leverandører og systemer. Dette gir dere oversikt over omganget av arbeidet med informasjonssikkheten. Dermed får dere et strategisk styringsverktøy som bidrar til målsetning, avgrensning og delegering av ansvar i relatert til deres IT-sikkerhetspolitikk.
Informasjonsinnsamling – Ved hjelp av et spørreskjema får dere mulighet for å samle strukturert viden om informasjonssikkerhetens omfang innenfor de ulike jurdisike enhetene. Her gjør løsningen det mulig å delegere ansvaret slik at innholdet kommer fra personer med den riktige kompetansen. Dere har dessuten mulighet for å opprette egne spørreskjemaer, slik at arbeidet kan bli best mulig tilpasset til deres unike behov.
GAP-analyse – Når dere han samlet den nødvendige informasjonen skal dere videre opprette eller tilknytte risikovurdering til de systemene dere bruker. Deretter skal dere gjennomføre en gap-analyse hvor dere sammenligner Annex A sine 114 kontrollmål opp i mot virksomheten – gjerne med utgangspunkt i den innsamlede informasjonen. Underveis kan dere enkelt trekke en komplett SoA-rapport for å få en samlet dokumentasjon på organisasjonens sikkerhetstiltak.
Kontrollapparat – Etter å ha gjennomgått gap-analysen har du også tatt stilling til de 114 kontrollmålene knyttet til ISO 27001. Til hvert av disse målene kan dere nå tilknytte nødvendige tiltak eller kontroller for å minimere eller opprettholde risikoen assosisert ved hvert av de identifiserte gapene til et ønsket nivå. Kontrollapparatet kan eksempelvis handle om stikkprøver, logfiler, testing, og lignende.
ISMS compliance software_risikovurdering_RISMA Systems
Trinn 1: Risikovurdering
ISMS-compliancesoftware_identificér informationsaktiver_RISMA Systems
Trinn 2: Informasjonsaktiva
ISMS-compliancesoftware_informationsindsamling_RISMA Systems
Trinn 3: Informasjonsinnsamling
ISMS-compliancesoftware_gap-analyse_RISMA Systems
Trinn 4: GAP-analyse
ISMS-compliancesoftware_mitigerende handlinger og kontroller_RISMA Systems
Trinn 5: Kontrollapparat
Book en demo og se hvordan organisasjonen din implementerer en ISMS-løsning slik at dere kan leve opp til ISO 27001-standarden.
Book demo nå

Implementeringen av ISO 27001 ISMS-programmet

Vår ISMS-programvare for håndtering av ISO 27001 har et intuitivt brukersnitt og er enkel å jobbe med. Det kan likevel være en utfordring å selv skulle gå i gang med projektet.

For å sikre at implementeringen av ISMS får en så god start som mulig, står våre kollegaer i Customer Success-temaet klare til å hjelpe dere i gang med et tilrettelangt implementeringsforløp.

De vil også være tilgjengelig for løpende support, slik at dere får mest mulig verdi ut av løsningen deres.
GDPR compliance software_Implementation_RISMA Systems

Har du spørsmål?

Det er ingen enkel oppgave å finne ut av hvilken ISMS-programvare dere skal velge.

Her kan du finne svar på noen av de spørsmålene vi oftest blir stilt. Dersom du likevel ikke finner svarene du leter etter, er du alltid velkommen til å kontakte oss, så hjelper vi deg gjerne.

Vi har vært på markedet siden 2014, og har siden fått god orden på hvilke muligheter som finnes for å tilpasses behovene i deres unike organisasjon.

Kontakt oss

Hva er ISMS – Information Security Management System?

Information Security Management System (ISMS) er et ledelsessystem til styring av intern informasjonssikkerhet. Den internasjonale standarden ISO 27001 hjelper med sine 114 Annex A-kontrollmål organisasjonene gjennom prosessen å få orden på informasjonssikkerheten. Kontrollmålene kan dere også bruke som en tjekkliste for å holde oversikt over projektets fremgang.

Hvorfor burde min organisasjon ha en ISO 27001/2 sertifisering?

Som med andre ISO-standarder er en sertifisering i ISO 27001/2 en mulighet, men ikke et lovkrav som dere er forpliktet til å implementere.

Flere organisasjoner velger likevel å implementere standarden for å trekke nytte av erfaringen standardene tilbyr, samt de konkurransefordele og anseelsen som er forbundet med etterlevelsen av de ulike ISO-standardene.

Hva er SOA i henhold til ISO 27001-dokumentasjon?

SoA (Statement of Applicability) er en statusoppgjørelse for din organisasjons arbeid med informasjonssikkerhet. En SoA-rapport kan dermed brukes som besluttningsdokument for prioritering av den sikkerhetsrelaterte innsatsen.

Det betyr også at SoA-sapporten beskriver hvilke tiltak og kontroller som inngår i deres ISMS-arbeid.
Be om demo

Nyhetsbrev

Hold deg oppdatert på den nye kunnskapen innen compliance*
* Nyhetsbrevet er på engelsk.