Globeteam
ISO 27001
Få styr på informationssikkerheden
Virksomhedens ambitioner i forbindelse med informationssikkerhed og ISO 27001 kan være på forskellige niveauer. Globeteam hjælper dig med at opnå en effektiv informationssikkerhedsledelse, der passer til virksomhedens særlige behov samt sikre, at denne effektivitet fastholdes gennem en proces for løbende forbedring.
Man taler i almindelighed om følgende niveauer i relation til ISO 27001:
- Inspired: Virksomheden lader sig inspirere af standarderne, typisk på et enkelt eller ganske få områder, hvor det synes mest relevant.
- Aligned: Virksomheden har struktureret sikkerhedsarbejdet efter standarderne og anvender disse som skabeloner og vejledning
- Compliant: Virksomheden arbejder efter standarderne på alle områder, men har ikke opnået certificering af en ekstern tredjepart.
- Certified: Virksomheden er certificeret efter standarderne, typisk af en anerkendt global tredjepart.
Faser i et typisk ISO 27001-projekt
Vores involvering i et ISO 27001-projekt bliver naturligvis skræddersyet efter jeres konkrete formål med projektet, men vil i almindelighed omfatte følgende overordnede faser:
- Deltagelse i formulering af projektmål ud fra eksisterende og forventelige krav til jeres informationssikkerhed. Disse krav vil almindeligvis foreligge ret ustruktureret i form af lovgivning, branchestandarder, myndigheds- og kundekrav samt jeres interne ønsker og behov. Vores bidrag vil her være at samle og strukturere kravene.
- Gennemførelse af en gap-analyse. Vi foretager herefter en gennemgang af virksomhedens aktuelle niveau i forhold til ovennævnte krav og identificerer områder, der afviger fra kravene. Gap-analysen præsenteres herefter for ledelsen sammen med en grov projektplan og et ressourceestimat på at eliminere de identificerede gaps.
- Afholdelse af en workshop, hvor projektplan, mål og ressourceestimater kan drøftes, holdninger alignes, og beslutninger kan tages. Almindeligvis vil vi facilitere workshoppen, hvor virksomheden typisk vil være repræsenteret ved ledelsen, kunderettede funktioner og IT-afdelingen.
- På workshoppen skal vores fremadrettede rolle i projektet også behandles. Vi kan naturligvis levere både specialist-input, projektledelse og ”rå” ressourcer til projektet, men den rigtige grad af involvering skal findes i en balance med jeres egne kompetencer og ressourcer.
- Efter workshoppen justerer vi projektplan m.v. ud fra de input, der er modtaget. De opgaver, der er aftalt, fordeles herefter i overensstemmelse med den justerede projektplan.
- Projektets fremdrift monitoreres herefter i overensstemmelse med den projektplan og projektstyringsmodel, der er aftalt med jeres ledelse.
Globeteams referencehistorier tæller bl.a. Dansk Industri, Danmarks Miljøportal, GN Hearing og Alinea.
Specialuddannede compliance-konsulenter
Vores compliance-ydelser leveres kun af konsulenter, som har gennemgået formaliserede uddannelsesforløb inden for informationssikkerhed og databeskyttelse/GDPR og/eller er certificerede på områderne.
Qua deres mangeårige praktiske erfaring har konsulenterne naturligvis også en forretningsmæssig tilgang til opgaveløsningen, der sikrer, at løsningerne tilpasses til jeres virksomhed.
Internationale og nationale uddannelser/certificeringer tæller bl.a.:
- Certified ISO/IEC 27001 Lead Implementer
- Certified in the Governance of Enterprise It
- Certified Information Systems Auditor
- Certified in Risk and Information Systems Control
- Uddannet i GDPR/persondatabeskyttelse
- Certified Data Privacy Solutions Engineer
Hvorfor skal I være compliant med ISO 27001?
De mange forskelligartede og komplekse krav til informationssikkerhed gør det i stigende grad nødvendigt at implementere et ”styringssystem” for arbejdet med IT-sikkerhed. ISO 27001 er netop et sådant internationalt styringssystem, der bl.a. har den fordel, at det efterhånden er de-facto standarden i Danmark og det øvrige Europa, hvilket gør det let at opnå hjælp og assistance til sikkerhedsarbejdet.
Mange virksomheders kunder er direkte eller indirekte afhængige af, at deres leverandører har styr på IT-sikkerheden og kan dokumentere det. Det er efterhånden ved at blive lige så almindeligt et krav i leverandørstyringen, at dette indarbejdes i samarbejdsaftalerne, som fx et krav om produktansvarsforsikring. For at det skal være transparent for alle, er det almindeligt, at kravene opfyldes i form af compliance med en standard. Det er i langt overvejende grad ISO 27001.
Foruden at kunderne får en tryghed for, at IT-sikkerhed håndteres korrekt via en ISO-standard, får virksomhedens ledelse og medarbejdere et redskab til at fastlægge de korrekte sikkerhedsniveauer og fremadrettet styre, at informationer bliver behandlet og beskyttet i nøje overensstemmelse med risikoen for sikkerhedsbrud. Det er ikke bare med til at sikre, at ledelse og medarbejdere bliver involveret i relevante beslutninger. Det fremtidssikrer også forretningen og styrker konkurrenceevnen.
GDPR og ISO 27001
ISO-standarden giver gode og relevante retningslinjer for styring af informationssikkerhed og er et rigtig godt fundament for alle organisationer, der vil arbejde professionelt og struktureret med dette. Anvendelse af standarden udgør imidlertid ikke en sikkerhed for, at man er i overensstemmelse med de regler, som EU’s dataforordning og Persondataloven opstiller.
Når man implementerer et styringssystem som ISO 27001, skal man bl.a. tage stilling til, hvilke lovgivningsområder systemet skal omfatte. Det er dermed vigtigt, at man indarbejder de relevante lovgivningskrav, som stilles til virksomheden, det være sig GDPR, finansiel lovgivning, sundhedslovgivning, forvaltningslovgivning m.v.
- Etablering af projektramme/mål: Fastlæggelse af målsætninger, milepæle, regelsæt, overordnet opgavefordeling samt projektøkonomi og løsningsmodel.
- Gennemførelse af modenhedsvurdering/gap-analyse: Identifikation af delområder i virksomheden der opfylder og henholdsvis afviger fra projektets målsætninger.
- Etablering og godkendelse af projektplan for løsninger: Såfremt der er identificeret eventuelle afvigelser i modenhedsvurderingen, etablerer vi et løsningsforslag.
- Gennemførelse af løsningsplan: Løsningsplanen gennemføres efter en aftalt opgavefordeling imellem Globeteam og kunden samt involvering af revisor på relevante stadier.
- Udarbejdelse af revisionserklæring: I samarbejde med kunden kan vi udarbejde udkast til revisionserklæring og koordinere forløbet med revisor frem til underskrevet erklæring.
- Projektevaluering: Der udarbejdes en samlet evaluering af projektets målopfyldelse i forhold til projektrammerne med forslag til justering af det kommende års projekt.
Hvad er ISO 27001?
ISO 27001 er resultatet af et globalt samarbejde imellem tusindvis af eksperter indenfor informationssikkerhed. Selve standarden er et langt dokument, der beskriver de områder, man som organisation bør gennemgå og vurdere i forbindelse med sit arbejde med informationssikkerhed.
ISO-standarden indeholder en overskuelig struktur og anbefalinger til, hvordan man kan tilrettelægge, implementere og kontrollere informationssikkerhedsarbejdet på områder som fx:
- Organisering af informationssikkerhed
- Regulatoriske rammer, fx persondataloven, bogføringsloven sikkerhedsbekendtgørelsen og anden relevant branchespecifik lovgivning
- HR-sikkerhed
- Adgangskontrol
- Kryptering
- Fysisk sikring
- Kommunikationssikkerhed
- Leverandørrelationer
- Informationsbrud
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler