ISO 27001 Oversigt
Den internationale standard ISO 27001, også kendt som DIN ISO/IEC 27001 i Tyskland, er forudsætningen for et certificeret informationssikkerhedsstyringssystem, forkortet ISMS. For virksomhederne betyder certificering mere sikkerhed, risikominimering, en fordel i forhold til kundernes tillid og dermed en mulig konkurrencefordel. Samtidig binder en sådan dokumenteret informationssikkerhed også ressourcer og kræver et engagement fra topledelsen - især i større virksomheder, som ikke er hjemme i sikkerhedsbranchen. I denne wiki-artikel forklarer vi, hvem der har gavn af et sådant ISO-certifikat, hvilke forudsætninger der skal være opfyldt, og hvor vigtigt et velfungerende ISMS er for abonnementsøkonomien.
Hvad er ISO 27001?
Grundlæggende er der to forskellige certificeringer. Den ene er ISO 27001-certificeringen og siden 2006 også den såkaldte “ISO 27001-certificering baseret på IT Baseline Protection”. Sidstnævnte har en højere informationsværdi på grund af sit omfang, men er også betydeligt mere kompliceret at gennemføre. I begge tilfælde er målet at planlægge, gennemføre, overvåge og optimere virksomhedens informationssikkerhed på permanent basis.
Den afgørende faktor for en vellykket certificering er først og fremmest det nødvendige ansvar i den øverste ledelse. Det skyldes især, at informationssikkerheden skal garanteres i alle afdelinger. Kort sagt: data og sikkerhed er en sag for chefen. Der er således tre grundlæggende værdier inden for informationssikkerhed:
- Fortrolighed: Oplysninger må ikke falde i de forkerte hænder
- Integritet: Følsomme oplysninger må ikke forfalskes
- Tilgængelighed: Nødvendige oplysninger skal kunne hentes.
Disse overordnede grundlæggende værdier eller virksomhedsværdier skal først forstås og eksemplificeres af den øverste ledelse, før en informationssikkerhedsansvarlig beskæftiger sig intensivt med sagen. Ved afslutningen af denne proces er der mulighed for en certificering i henhold til ISO 27001.
Fordelene ved ISO 27001-certificering
Certificering i henhold til ISO 27001 har mange fordele for en virksomhed. Misbrug af data og datalækager, f.eks. i form af hackerangreb, koster den tyske industri hvert år flere milliarder euro. En omkostningsrisiko, der reduceres ved konsekvent informationssikkerhedsstyring.
En vellykket dokumenteret informationssikkerhed betragtes således som grundlaget for en solid virksomhedskultur. Der kan således skabes en kultur af forståelse og tillid internt i virksomheden, men også i forhold til udvekslingen med kunder og forretningspartnere. Dette kan igen føre til en konkurrencefordel.
En anden fordel er, at en ISO-certificeret proces også dækker spørgsmålet om databeskyttelse. For databeskyttelse og informationssikkerhed er en del af enhver it-kanon.
ISO/IEC 27001:2013 er en sikkerhedsstandard, der fastlægger bedste sikkerhedsledelsespraksis og omfattende sikkerhedskontrol i overensstemmelse med retningslinjerne for bedste praksis i ISO/IEC 27002.
Hvad betyder ISO/IEC 27001-certificering for abonnementsbranchen?
Sikre systemer er af stor betydning for abonnementsforretningsmodeller. Når alt kommer til alt, er beskyttelse af kundedata gennem strenge sikkerhedsstandarder en topprioritet, ikke kun, men især for abonnementsvirksomheder. Især i automatiserede processer er de operationelle krav til en abonnementsforretningsmodel enorme. Her skal to egenskaber, fortrolighed og gennemsigtighed, trods alt kombineres, både i kundens og virksomhedens interesse.
Det er vigtigt at forstå, at ISO-certificering ikke er en betingelse eller et juridisk krav for en abonnementsmodel.
Hvordan kan jeg certificere min virksomhed, og hvad skal jeg overveje?
Faktisk er ISO-certifikatet i første omgang en frivillig tjeneste, som en virksomhed kan benytte sig af. Teoretisk set, men bestemt ikke anbefalet, kan virksomheden også selv proklamere overensstemmelse og vigtigheden af informationssikkerhed og gøre det troværdigt over for kunden. Alternativt kan tjenesteudbydere eller kunder også bekræfte eller vurdere pålideligheden og informationssikkerheden. Den mest overbevisende variant er dog en verifikation af en uafhængig ekstern revisor, f.eks. fra TÜV eller direkte fra BSI (Federal Office for Information Security).
Når en virksomhed har besluttet sig for ISO IEC 27001-certificering, skal tidsfaktoren for implementeringen tages i betragtning. Og hvor lang tid tager en ISO 27001-certificering? Det tager ca. 30-50 dage, før alle processer og koncepter er blevet sat i gang på en sådan måde, at det er tilstrækkeligt til certificering. Det er også nyttigt at planlægge en fuldtidsstilling, der kun fokuserer på kravene i dette emne. Denne tid og personaleindsats kan dog hurtigt betale sig, især for de virksomheder, der ønsker at undgå risikoen for datalækager og sikkerhedsbrud. Og for alle andre er certificering helt sikkert en investering, der er værd at investere i fremtiden.
Konklusion om ISO 27001
Jo større en virksomhed eller organisation er, og jo mere kompleks dens forretningsmodel er, jo højere er de monetære og personalemæssige omkostninger ved de foranstaltninger, der er nødvendige for at få et ISMS certificeret i henhold til DIN ISO/IEC 27001 op at køre. Men disse bestræbelser på at overholde standarden kan hurtigt betale sig. Enten direkte, ved at undgå fejl og risikoomkostninger, eller indirekte, da virksomheden kan anbefale sig selv som en særlig sikker og revideret virksomhed.
