Cybertrusler udvikler sig hastigt, og kravene til sikker håndtering af data strammes, står mange organisationer over for et voksende behov for at styrke deres informationssikkerhed. Få en praktisk og overskuelig indgang til arbejdet med at etablere og forbedre et effektivt informationssikkerhedsledelsessystem, baseret på principper i ISO 27001.

1. LÆR STANDARDEN ISO 27001 AT KENDE

Start med at lære standarden og dens formål at kende. Det er ikke ualmindeligt at virksomheder indfører et informationssikkerhedsledelsessystem, før de har fuld
forståelse for, hvad standarden omhandler og dens krav. På denne måde er det nemt at bruge standardens krav som en checkliste, der blot skal opfyldes.

Hvis du gør sådan kommer du let til at spilde tiden og at lave dokumentation som ISO 27001 standarden ikke kræver. Samtidig risikerer du, at du kun delvis opfylder kravene i standarden, og at dit arbejde bliver usystematisk. Forberedelse er afgørende for at opnå en vellykket certificering.

2. INVOLVER LEDELSEN OG FÅ DERES OPBAKNING TIL PROJEKTET

Intet ledelsessystem er bedre end den ledelse, der implementerer den. Ledelsen skal forpligte sig til at planlæge, gennemføre, overvåge, gennemgå, vedligeholde og løbende forbedre ledelsessystemet. Ledelsen skal ligeledes sikre, at ressourcerne er til rådighed til at arbejde med et informationssikkerhedsledelsessystem, samt at de ansatte der er ansvarlige for at udvikle, implementere og vedligeholde systemet har den nødvendige kompetence og uddannelse.

Med disse forudsætninger på plads, kan du:

  • Udarbejde en informationssikkerhedspolitik
  • Fastlægge mål og planer vedrørende informationssikkerhed
  • Definere og tildele roller og ansvarsområder inden for informationssikkerhed

3. FASTLÆG POLITIK OG ANVENDELSESOMRÅDE

Når ledelsen er involveret og engageret, kan arbejdet med informationssikkerhedsledelsessystem starte. Fastlæg og bestem omfanget af informationssikkerhedsledelsessystem i form af:

  • En politik for informationssikkerhedsledelsessystemet
  • Målsætning for informationssikkerhedsledelsessystemet
  • Klare roller / ansvar med hensyn til informationssikkerhed.

Når disse spørgsmål er defineret, har du brug for at afgøre hvilke dele af organisationen der skal medtages i ledelsessystemet - områder, steder, ressourcer, teknik etc.

4. VÆLG EN METODE TIL RISIKOVURDERING

En risikovurdering vil hjælpe dig med at identificere potentielle risici, hvordan de kan påvirke dine følsomme oplysninger samt sandsynligheden for, at disse risici bliver en realitet. Valget af risikovurderingsmodel er et af de vigtigste elementer, når du skal implementere et informationssikkerhedsledelsessystem.

Standarden specificerer ikke hvilken risikovurdering model du skal anvende, i stedet kræver standarden, at den valgte model kan bruges til at:

  • Vurdere risici relateret til fortrolighed, integritet og tilgængelighed
  • Sætter mål for at holde risikoen på et acceptabelt niveau
  • Etablerer kriterier der definerer, hvornår en risiko er acceptabel

5. IDENTIFICER, ANALYSER OG VURDER RISIKO

Når risici er blevet identificeret, skal de skal analyseres og
vurderes.

  • Vurder hvordan organisationen vil blive påvirket, hvis de identificerede sikkerhedsrisici bliver en realitet. Vurder hvad konsekvenserne vil være, hvis fortroligheden, integriteten eller tilgængeligheden af dine informationsressourcer ville blive bragt i fare eller beskadiget
  • Udarbejd et skøn over de forskellige risikoniveauer
  • Undersøg om risikoen er acceptabel eller kræver handling
    ved, at følge tidligere definerede kriterier for accept

Vælg en af følgende handlinger:

  • Accepter risikoen. Eksempelvis hvis handlinger er for dyre, eller hvis det ikke er muligt for organisationen at træffe foranstaltninger (for eksempel i tilfælde af naturkatastrofer eller politiske revolutioner
  • Overfør ansvaret for risikoen til en anden. For eksempel en ekstern udbyder eller et forsikringsselskab
  • Aktiver kontrolmekanismer for at holde risikoen på et acceptabelt lavt niveau

6. DEFINER HANDLINGER OG MÅLSÆTNINGER FOR RISIKOSTYRING

For at opfylde kravene identificeret i risikovurderingsprocessen, skal mål og handlinger identificeres og gennemføres. Denne identifikation skal tage hensyn til
kriterierne for hvilke risici der er acceptable og uacceptable, samt juridiske, lovgivningsmæssige og kontraktlige forpligtelser.

7. ENDELIG IMPLEMENTERING AF ISO 27001

Gennemfør en plan, der omfatter:

  • En beskrivelse af risikostyring, hvor ledelsesmæssige tiltag, ressourcer, ansvar og en prioriteret rækkefølge for handlinger i forbindelse med informationssikkerhed er fastsat
  • En risikostyringsplan for at nå målene. Dette omfatter både finansiering og fordeling af roller og ansvar
  • De nødvendige foranstaltninger for at opfylde målsætningerne
  • Uddannelse
  • Implementering af ledelsessystemet og ressourcer

8. UDDAN MEDARBEJDERE OG TILDEL RESSOURCERNE

Tilstrækkelige ressourcer (personale, tid og penge) skal være tilgængelige for, at implementere et informationssikkerhedsledelsessystem og tilhørende sikkerhedsforanstaltninger ordentligt. Det er også vigtigt, at medarbejdere der arbejder med informationssikkerhedsledelsessystemet (for eksempel med systemvedligeholdelse, dokumentation og sikkerhed) får en passende træning og uddannelse.

9. INTERNE AUDITS, LEDELSESBERETNING OG FORBEDRINGER

For at sikre at informationssikkerhedsledelsessystemet er og forbliver effektivt, omfatter standarderne følgende krav:

  • Udfør interne audits
  • Ledelsen skal regelmæssigt udføre evalueringer af informationssikkerhedsledelsessystemet for at sikre, at det fortsat er fuldstændigt samt lette procedurerne for at finde forbedringer i informationssikkerhed ledelsessystemet.

10. START TIDLIGT OG OVERVEJ AT LAV EN PRÆEVALUERING ELLER GAP-ANALYSE

Certificeringsprocessen kan tage fra en til seks måneder, fra anmodningen om tilbud indtil det endelige certificeringsaudit er afsluttet. Kontakt DNV Business Assurance tidligt for et tilbud for hele certificeringsprocessen.

Det er meget almindeligt, at der afsættes energi til at perfektionere ting, der allerede fungerer godt. Mens andre væsentlige elementer ikke får den opmærksomhed, som de har brug for. Planlæg en ekstern forhåndsvurdering
(præevaluering eller GAP-analyse) nogle måneder før det endelige certificeringsaudit, selvom dit ledelsessystem ikke er helt færdig.

Identificering af områder med afvigelse på et tidligt stadium, vil give dig mulighed for at rette op på disse. Husk, at dit ledelsessystem ikke behøver at være perfekt ved den første audit - det er nok, at alle elementer overholder kravene i standarden.

Informer DNV Business Assurance om, at en forhåndsvurdering bør indgå i kontrakten, og være planlagt før den sidste fase af trin 9.

ViewPoint

Indsigt fra vores globale undersøgelser.

Nyhedsbrev

Tilmeld dig og modtag vores nyhedsbreve.