09. november 2020
Ens mavefornemmelse og erfaring kan sagtens være god, når man som erfaren IT-chef eller -medarbejder har ansvaret for organisationens IT-sikkerhed. Men hvis man blot benytter sig af erfaring og mavefornemmelse, så er det ikke sikkert, at underleverandører, samarbejdspartnere, kunder og andre afdelinger i organisationen helt ved, hvad virksomhedens IT-sikkerhed indebærer. Hvis man til gengæld benytter standarder for IT-sikkerhed, har man et helt bestemt framework, som er internationalt anerkendt, og som giver en fælles forståelse.
- Når man benytter sig af standarderne fra ISO/IEC 27000-serien, så ved ens samarbejdspartnere, at der er et særligt framework, som bliver fulgt, dvs. et fælles grundlag, som både du og modparten ved, hvad er. Det betyder også, at man virkelig kan effektivisere, hvis man fx låner fra hinanden. For hvis nogen inden for standardens domæne har fundet på noget, fx i forhold til leverandørprocedurer, så kan man lade sig inspirere af det, i stedet for selv at udvikle proceduren fra bunden af, siger Henning Mortensen, som er IT-sikkerhedschef i en stor dansk virksomhed og formand for Rådet for Digital Sikkerhed.
Henning Mortensen arbejder til dagligt med governance og compliance i den virksomhed, hvor han er IT-sikkerhedschef. Som formand for Rådet for Digital Sikkerhed arbejder han for en bedre digital sikkerhed og bedre beskyttelse af personoplysninger i det danske samfund i bred forstand. Ifølge Henning Mortensen kan man bruge standarderne for informationssikkerhed, ISO/IEC 27000-serien, som tjeklister og dokumentationssystem. De er oveni købet skrevet i et fælles sprog, som fagpersoner kan forstå på tværs af organisationer. Derfor mener han, at standarden for privatlivsbeskyttelse, ISO/IEC 27701, også bør blive obligatorisk inden for den offentlige sektor.
- De statslige myndigheder skal allerede efterleve ISO/IEC 27001, der er selve ledelsessystemet for informationssikkerhed. Så de har allerede frameworket. Og ligesom alle andre større organisationer skal de efterleve GDPR. Men GDPR er et juridisk værk, som ikke giver megen vejledning eller kontroller til dem, som arbejder med IT. Det får de til gengæld foræret i standarden ISO/IEC 27701, forklarer Henning Mortensen og fortsætter:
- Og lige præcis i forhold til GDPR er der simpelt hen nogle IT-fagpersoner, som har læst GDPR og skrevet den ind i en standard, så den er lige til at gå til for IT-sikkerhedsafdelingen. Så hvis man gør ISO/IEC 27701 obligatorisk, så tilfører man faktisk et grundlag, hvor både jurister og it-folk kan snakke sammen og få en bredere sammenhæng mellem GDPR og IT-sikkerheden og det juridiske og praktiske arbejde.
Det er ikke blot ISO/IEC 27701, som danner bro mellem det juridiske og IT-sikkerheden. Det kan ISO/IEC 27001 og ISO/IEC 27002, der er regelsættet for styring af informationssikkerhed, også, når man som IT-medarbejder benytter dem i et dokumentationssystem.
- I modsætning til ISO/IEC 27701, som faktisk tager udgangspunkt i GDPR, så er ISO/IEC 27001 og ISO/IEC 27002 ikke skrevet som et juridisk værk, men efter klassiske principper for organisationssikkerhed. Derfor har juristerne også svært ved at tolke standarderne. Men ved at benytte det samme framework, uanset hvilken organisation du er i, og benytte det samme dokumentationssystem, så kan IT- og juraafdelingen få en fælles forståelse, siger Henning Mortensen.
Når flere kommuner eller virksomheder benytter sig af det fælles framework og grundlag, som standarderne tilbyder, kan kommunerne lære af hinanden, og det samme kan virksomheder, hvilket vil betyde stor effektivisering. Fx har kommunerne mange sammenlignelige forhold, så hvis én kommune har løst noget på én måde, vil det med stor sandsynlighed kunne overføres til en anden og omvendt. På den måde kan de være fælles om at finde de bedste løsninger inden for deres IT-sikkerhedsområde.
- Det kan fx være i forbindelse med compliance inden for sikkerhedskrav. Hvis en kommune fx bruger Google Analytics, så vil sikkerhedskravene ikke være anderledes end i en anden kommune. Og hvis de så arbejder sammen om det, vil de hurtigt kunne effektivisere. Den ene kommune kan fx udarbejde, hvordan kommunerne kan dokumentere overholdelse af sikkerhedskravene i forhold til brug af Google Analytics, mens en anden kommune kan bruge energi på dokumentation af noget andet, forklarer Henning Mortensen.
En udfordring, som Henning Mortensen dog vil gøre opmærksom på ved at bruge ISO/IEC 27701, er, at man ikke automatisk bliver compliant med lovgivningen ved at følge standarden. Det bliver man til gengæld ved at benytte ISO/IEC 27001 og 27002 inden for deres område. Udfordringen ved ISO/IEC 27701 er, at standarden siger, at du skal have hjemmel for din procedure for privatlivsbeskyttelse. Men du skal selv vælge, hvilken hjemmel for at leve op til lovgivningen. Dvs. standarden beder dig blot om at tage stilling til spørgsmålet, men du kunne sådan set indenfor standardens rammer vælge en ulovlig hjemmel.
- I GDPR er der opstillet seks muligheder for hjemmel til at indsamle og opbevare almindelige personoplysninger. Fx kan man bede sine kunder eller borgere pænt om lov, dvs. samtykke. Der er også en kontraktmulighed, altså at kommunen eller virksomheden indgår en kontrakt med borgeren eller kunden. Det er vigtigt, at man skriver det ind i sin dokumentation, hvilken mulighed man vælger. Så selv om man følger ISO/IEC 27701, skal man stadig huske også at læse GDPR, siger Henning Mortensen og tilføjer:
- Jeg plejer at sige, at der er standarder, lovgivning og praksis, og man skal have alle tre dele til at fungere sammen på virkelige, praktiske problemstillinger.
Standarden for privatlivsbeskyttelse er et ledelsesværktøj, ligesom de andre standarder i ISO/IEC 27000-serien, og giver et fælles framework til de arbejdsgange og foranstaltninger, som en organisation bør etablere for at opnå en passende beskyttelse af personoplysninger. Ved at følge kravene i ISO/IEC 27701 får din virksomhed eller organisation dokumenteret processer til behandling og beskyttelse af personoplysninger, uanset om I fungerer som databehandler eller dataansvarlig.
Cyberangreb kan ramme alle, store som små, og kan have voldsomme konsekvenser for forretningen. Men det kan virke som en uoverskuelig opgave at få styr på cyber- og informationssikkerheden - især for mindre virksomheder. Standarden ISO/IEC 27001 e...
I takt med øget digitalisering stiger risikoen for hackerangreb og anden IT-kriminalitet. Derfor er det afgørende at have effektive værktøjer og processer for informationssikkerhed.
Nåede du ikke at se Dansk Standards live MorgenBriefing om cyber- og informationssikkerhed, kan du se optagelsen her.