ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde. ISO 27001 opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.
Formålet med ISO/IEC 27001 er at opnå effektiv informationssikkerhedsledelse, der passer til en virksomheds særlige behov, samt sikre at denne effektivitet fastholdes gennem en proces for løbende forbedring. Det betyder, at informationssikkerheden hele tiden opdateres, således at virksomheden er i stand til at håndtere udfordringerne i en forretningsverden under konstant forandring.
ISO/IEC 27001 er en standard, som man som virksomhed kan blive certificeret i. Med en certificering har din virksomhed dokumentation for, at den lever op til kravene i standarden.
Informationssikkerhed er væsentligt for alle, der besidder informationer – hvad enten det er fysiske, digitale eller talte – og kan have betydelige konsekvenser for både overholdelse af lovgivning, organisationens aktiviteter og succes samt troværdighed og image.
Baggrund:
I løbet af de seneste 20 år er risikoen for cyberangreb og IT-kriminalitet som følge af mangel på informationssikkerhed steget markant. Det skyldes ikke mindst brugen af internettet som middel til at gøre forretning og skaffe sig adgang til store mængder information. Og i takt med en stigende efterspørgsel efter flere opkoblingsmuligheder og forretningsadgange via mobile teknologier samt øget udveksling af data stiger risikoen, for at informationssikkerheden kompromitteres yderligere.
Det betyder:
Når information mistes, ødelægges, stjæles eller bliver utilgængelig, går det ud over virksomhedens renommé og kundernes tillid. Personfølsomme oplysninger kan blive stjålet på mange måder, fx via internettet, ved tyveri af bærbare computere via skade på IT-systemer eller via andre sårbare informationskilder. Derfor står erhvervslivet og samfundet over for mange risici, i takt med at flere og flere data gøres digitale og afhængigheden af IT-systemer stiger.
Virksomheder bør have kendskab til sådanne risici og ledelsesmæssigt tage skridt til at beskytte deres virksomhed.
Digitaliseringsstyrelsen gennemfører løbende analyser om borgernes oplevelser med og kendskab til informationssikkerhed. De mest markante observationer fra undersøgelserne er bl.a., at de færreste danskere beskytter egne data med sikkerhedskopiering, og mange også benytter samme passwords til forskellige tjenester.
ISO/IEC 27001 stiller krav til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed (ISMS). Indførelsen af et ledelsessystem for informationssikkerhed er en strategisk beslutning for en organisation. Det er vigtigt, at ledelsessystemet er en del af og er integreret med organisationens processer og overordnede ledelsesstruktur, samt at det tager højde for informationssikkerheden i planlægningen af processer, informationssystemer og kontroller.
Alle offentlige virksomheder er i dag underlagt at følge principperne i standarden ISO/IEC 27001. Standarden er desuden et godt afsæt til at håndtere kravene i persondataforordningen, der trådte i kraft i maj 2018.
Nogle love og forskrifter er fælles for de fleste lande, fx:
Mange nye love og myndighedsregler indeholder krav til informationssikkerhed, som virksomheder skal overholde. Nogle erhvervsforsikringsselskaber kræver nu dokumentation for, at der er styr på informationssikkerheden før de tilbyder forsikringsdækning.
Den 25. maj 2016 blev persondataforordningen fra EU vedtaget. Den trådte i kraft 25. maj 2018 og indgår i EU-landenes egne lovgivninger på området, dog med plads til national supplerende lovgivning på en række områder.
De EU-kravene overlapper på en lang række områder kravene i standarden ISO/IEC 27001 for informationssikkerhed. Persondataforordningen opstiller skærpede krav til behandling og beskyttelse af persondata. Med afsæt i standarder er man godt klædt på til at håndtere kravene.
Dansk Standard tilbyder kurser i informationssikkerhed med afsæt i privacy-standarden og kravene i persondataforordningen.
Informationssikkerhed skal bevare fortrolighed, integritet og tilgængelighed af information ved hjælp af en risikostyringsproces og sikre, at interessenter har tillid til, at risici hånderes på en ordentlig måde.
Beskyttelse af informationer mod uautoriseret videregivelse eller adgang. Eksempel: beskyttelse mod uautoriseret adgang til en persons kreditkort eller økonomiske informationer, som personen forventer opbevares på fortrolig måde, eller til hemmelige designspecifikationer, forskningsresultater, markedsprognoser og analyser.
Beskyttelse af informationer mod uautoriseret ændring eller ødelæggelse, også utilsigtet ødelæggelse samt sikring af informationernes nøjagtighed og pålidelighed. Eksempel: en persons sygejournal eller personoplysninger eller virksomhedsregnskaber skal være nøjagtige, herunder informationer, der er afgørende for, at et forretningssystem kan fungere effektivt, som fx en virksomheds lønudbetalinger, fakturering og/eller lagerstyring.
Beskyttelse af informationer mod uautoriseret adgangsforbud for de personer, som har retmæssig adgang. Eksempel: når en virksomheds databaseserver har været udsat for et såkaldt DoS-angreb (fx forårsaget af en computervirus), kan informationerne i databasen blive utilgængelige, hvilket vil kunne medføre et større systemnedbrud. Alternativt kan tyveri af mobile enheder, som fx en bærbar computer, resultere i, at ejermanden også mister adgangen til de informationer, der var indeholdt i computeren.
Vi hjælper private såvel som offentlige virksomheder og organisationer. Få bl.a. kortlagt jeres nuværende informationssikkerhedssituation eller få viden om udviklings- og forbedringsmuligheder for eksisterende systemer.
SMV'er kan søge om op til 100.000 kroners rådgivning i informationssikkerhed eller privacy.
Kontakt Anders Linde, chefkonsulent i Dansk Standard, på e-mail ali@ds.dk eller tlf. 39966329. Anders er vores ekspert i anvendelse og implementering af ISO/IEC 27001 for informationssikkerhed.
Han har bl.a. hjulpet Forsvaret, Danmarks Domstole og Københavns Kommune med rådgivning indenfor informationssikkerhed.
Vi tilbyder også kurser i informationssikkerhed. Brug fx tre timer eller en dag på at lære om ISO/IEC 27001. Vi udbyder også diplomkursus samt virksomhedstilpassede kurser.
Erhvervsministeriet har bl.a. udviklet to værktøjer, der hjælper virksomhederne med at komme i gang med arbejdet med cyber- og informationssikkerhed.
PrivacyKompasset er et online værktøj, der tilbyder hjælp til særligt små og mellemstore virksomheder til at kortlægge deres brug af data.
Med en systematisk tilgang til styring af risici, kan organisationen investere i informationssikkerhed, hvor det giver størst muligt afkast – hvad enten det indebærer beskyttelse af organisationens fysiske rammer, IT-tekniske kontroller eller en ændring af medarbejdernes adfærd.
Dette vil kunne bidrage til
e-Boks har siden 2015 fulgt standarden for informationssikkerhed, ISO/IEC 27001. Jacob Zwicki, Head of Security hos e-Boks, er ikke i tvivl om, at ISO 27001 i sidste ende har betydning for e-Boks’ troværdighed.
Standardisering, dokumentation og det aktive arbejde med risici øger sikkerheden betydeligt. Vi lever af troværdighed, og det gør mange af vores kunder og samarbejdspartnere også. Derfor er det vigtigt, at sikkerheden er formaliseret i vores organisation. e-Boks er en meget vigtig komponent i dansk digital infrastruktur. Derfor har vi også et særligt ansvar for, at sikkerheden håndteres omhyggeligt.
Jacob Zwicki
Head of Security, e-Boks
Læs også om andre ledesessystemer