Globeteam
ISO 27001
Home » Sikkerhed » Compliance » ISO 27001
Få styr på informationssikkerheden
ISO 27001 er en globalt anerkendt standard for informationssikkerhed, der hjælper virksomheder med at sikre sig imod angreb gennem en effektiv informationssikkerhedsledelse samt en risikobaseret tilgang til sikkerheden i virksomheden.
Globeteam hjælper jer med at opnå en effektiv informationssikkerhed, der passer til virksomhedens modenhed og ambitionsniveau og sikrer, at denne effektivitet fastholdes gennem en proces af løbende forbedringer. I samråd med jer fastlægger vi virksomhedens ønskede sikkerhedsniveau, som typisk er baseret på mere eller mindre eksplicit input eller krav fra myndigheder, samarbejdspartnere/kunder og ledelsen.
Virksomheder kan have forskellige ambitionsniveauer i forhold til arbejdet med ISO 27001:
- Inspired: Virksomheden lader sig inspirere af standarderne, typisk på et enkelt eller ganske få områder, hvor det synes mest relevant.
- Aligned: Virksomheden har struktureret sikkerhedsarbejdet efter standarderne og anvender disse som skabeloner og vejledning.
- Compliant: Virksomheden arbejder efter standarderne på alle områder, men har ikke opnået certificering af en ekstern tredjepart.
- Certified: Virksomheden er certificeret efter standarderne, typisk af en anerkendt global tredjepart.
Faser i et typisk ISO 27001-projekt
Et ISO 27001-projekt kan både være en implementering, så virksomheden følger standarden, eller en forberedelse til en certificering. Et projekt med Globeteam som partner bliver naturligvis skræddersyet efter jeres konkrete formål med projektet og vil normalt omfatte følgende overordnede faser:
- Deltagelse i formulering af projektmål ud fra eksisterende og forventelige krav til jeres informationssikkerhed. Disse krav vil almindeligvis foreligge ret ustruktureret i form af lovgivning, branchestandarder, myndigheds- og kundekrav samt jeres interne ønsker og behov. Vores bidrag vil her være at samle og strukturere kravene.
- Mapping af eksisterende politikker og procedurer samt implementerede sikkerhedsforanstaltninger og kontroller op imod kravene i ISO27002. Vi foretager herefter en gennemgang af virksomhedens aktuelle niveau i forhold til ovennævnte krav og identificerer områder, der afviger fra kravene. Resultatet præsenteres herefter for ledelsen sammen med en grov projektplan og et ressource-estimat på eliminering af de identificerede mangler.
- Afholdelse af en workshop, hvor projektplan, mål og ressourceestimater drøftes, holdninger alignes, og beslutninger kan tages. Almindeligvis vil vi facilitere workshoppen, hvor virksomheden typisk vil være repræsenteret ved ledelsen, kunderettede funktioner, IT-afdelingen og en eventuel sikkerhedsfunktion.
- På workshoppen afklares Globeteams fremadrettede rolle i projektet. Vi kan levere både specialist-input, projektledelse og ressourcer til projektet, men den rigtige grad af involvering skal findes i en balance med jeres behov og egne kompetencer og ressourcer.
- Efter workshoppen justerer vi projektplan m.v. ud fra de input, der er modtaget. De opgaver, der er aftalt, fordeles herefter i overensstemmelse med den justerede projektplan.
- Projektets fremdrift monitoreres herefter i overensstemmelse med den projektplan og projektstyringsmodel, der er aftalt med jeres ledelse.
Globeteams referencehistorier tæller bl.a. Dansk Industri, Danmarks Miljøportal, GN Hearing og Alinea.
Specialuddannede compliance-konsulenter
Globeteams compliance-ydelser leveres udelukkende af konsulenter, som har gennemgået formaliserede uddannelsesforløb inden for informationssikkerhed eller er certificerede på områderne.
Vores konsulenter har mange års praktisk erfaring inden for ISO 27001 og informationssikkerhed og har derfor også en forretningsmæssig tilgang til opgaveløsningen, der sikrer, at løsningerne tilpasses til jeres virksomhed.
Internationale og nationale uddannelser/certificeringer tæller:
- Certified ISO/IEC 27001 Lead Implementer
- Certified ISO/IEC 27001 Lead Auditor
- Certified ISO/IEC 27001 Lead Risk Management
- ISO27035 Lead Information Security Incident Management
- Certified Information Systems Security Professional
- Certified Information Systems Auditor
- Certified Information Security Manager
- Certified in the Governance of Enterprise IT
- Certified in Risk and Information Systems Control
- Certified Data Privacy Solutions Engineer
- GIAC Critical Controls Certification
Hvorfor skal I være compliant med ISO 27001?
De mange forskellige og komplekse krav til informationssikkerhed gør det i stigende grad nødvendigt at implementere et ledelsessystem for informationssikkerhed (ISMS). ISO 27001 er rammeværket til et sådant internationalt ledelsessystem, der blandt andet har den fordel, at det, ud over at være et krav til de statslige myndigheder, efterhånden også er de-facto standarden i Danmark og det øvrige Europa. Det betyder, at det er let at opnå hjælp og assistance til sikkerhedsarbejdet.
Mange virksomheders kunder er direkte eller indirekte afhængige af, at deres leverandører har styr på sikkerheden og kan dokumentere det. Det er efterhånden ved at blive lige så almindeligt et krav i leverandørstyringen, at dette indarbejdes i samarbejdsaftalerne, som fx et krav om produktansvarsforsikring. For at det skal være transparent for alle, er det almindeligt, at kravene opfyldes i form af compliance med en standard. Denne standard er i langt overvejende grad ISO 27001.
Ud over, at kunderne får en tryghed for, at virksomhedens sikkerhed håndteres korrekt via en ISO-standard, får virksomhedens ledelse og medarbejdere også et redskab til at fastlægge de korrekte sikkerhedsniveauer og fremadrettet styre, at informationer bliver behandlet og beskyttet i nøje overensstemmelse med risikoen for sikkerhedsbrud. Det er ikke bare med til at sikre, at ledelse og medarbejdere bliver involveret i relevante beslutninger. Det fremtidssikrer også forretningen og styrker konkurrenceevnen.
GDPR og ISO 27001
ISO-standarden giver gode og relevante retningslinjer for styring af informationssikkerhed og er et rigtig godt fundament for alle organisationer, der vil arbejde professionelt og struktureret med dette. Anvendelse af standarden udgør imidlertid ikke en sikkerhed for, at man er i overensstemmelse med de regler, som databeskyttelsesforordningen (GDPR) opstiller.
Når man implementerer et ledelsessystem for informationssikkerhed som ISO 27001, skal man tage stilling til, hvilke lovgivningsområder systemet skal omfatte. Det er dermed vigtigt, at man indarbejder de relevante lovgivningskrav, som stilles til virksomheden, det være sig GDPR, finansiel lovgivning, sundhedslovgivning, forvaltningslovgivning m.v.
- Etablering af projektramme/mål: Fastlæggelse af målsætninger, milepæle, regelsæt, overordnet opgavefordeling samt projektøkonomi og løsningsmodel.
- Gennemførelse af modenhedsvurdering/gap-analyse: Identifikation af delområder i virksomheden, der opfylder og henholdsvis afviger fra projektets målsætninger.
- Etablering og godkendelse af projektplan for løsninger: Såfremt der er identificeret eventuelle afvigelser i modenhedsvurderingen, etablerer vi et løsningsforslag.
- Gennemførelse af løsningsplan: Løsningsplanen gennemføres efter en aftalt opgavefordeling imellem Globeteam og kunden samt involvering af revisor på relevante stadier.
- Udarbejdelse af revisionserklæring: I samarbejde gør vi jer klar til at få udarbejdet en revisionserklæring - enten ISAE 3402 eller ISAE 3000.
- Projektevaluering: Der udarbejdes en samlet evaluering af projektets målopfyldelse i forhold til projektrammerne med forslag til justering af det kommende års projekt.
Hvad er ISO 27001?
ISO 27001 er resultatet af et globalt samarbejde imellem tusindvis af eksperter indenfor informationssikkerhed. Selve standarden er et langt dokument, der beskriver de områder, man som organisation bør gennemgå og vurdere i forbindelse med sit arbejde med informationssikkerhed.
ISO-standarden indeholder en overskuelig struktur og anbefalinger til, hvordan man kan tilrettelægge, implementere og kontrollere informationssikkerhedsarbejdet på områder som fx:
- Organisering af informationssikkerhed
- Regulatoriske rammer, fx databeskyttelsesreglerne, bogføringsloven eller anden relevant branchespecifik lovgivning
- Helhedsorienterede beredskab
- HR-sikkerhed
- Adgangskontrol
- Kryptering
- Fysisk sikring
- Kommunikationssikkerhed
- Leverandørrelationer
- Sikkerhedsbrud
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler