ISO 27001 – Ledelsessystem til informationssikkerhed

Tab af information, læk af forretningshemmeligheder til konkurrenter, person­følsomme oplysninger og fortrolige kundedata, der afsløres for uautoriserede personer eller proceskritiske infrastrukturer, der bryder ned, er alt sammen eksempler på hændelser, der kan have endog meget alvorlige konsekvenser for en virksomhed. Grafik-til-27001

Det er derfor vigtigt, at værdifulde aktiver, så som information, computere og netværk, beskyttes ved hjælp af et ledelsessystem til informationssikkerhed (LIS). ISO 27001 er en international standard med en procesbaseret tilgang i stil med Plan-Do-Check-Act (PDCA), der afspejler virksomhedens retningslinjer for informationssikkerhed. ISO 27001 er en effek­tiv løsning, når det gælder om at beskytte virksomhedens aktiver og samtidig lette proces­sen med at styre, måle og forbedre.

Principper inden for sikkerhedsledelse
På basis af virksomhedens mål og risici analyseres det hvilke aktiver, der er kritiske og som dermed kræver beskyttelse. Trusler, risici og sårbarheder identificeres, hvorefter de nødvendige sikkerhedstiltag udvælges og implementeres. Tiltagenes effektivitet overvåges og forbedres, således at beskyttelsen til hver en tid matcher behovet.

Mål og aktiviteter i forb. m. informationssikkerhed
Som hjælp i forbindelse med valget af sikkerhedsforanstaltninger findes der i ISO 27001 133 forslag, der sikrer, at alle vigtige alternativer vurderes. Eksempler på tiltag er adgangs­kontrol, netværkssikkerhed og sikkerhed i forbindelse med hjemmearbejdspladser.

Ansvar for informationssikkerhed
Til personer, der har del i ansvaret for virksomhedens informationssikkerhed, tilbyder ISO 27001 nogle redskaber til etablering af et grundlæggende sikkerhedsstystem, der udvikles i takt med forandringer i virksomheden og omverdenen.

Ledelsens engagement
En forudsætning for god informationssikkerhed er, at ledelsen udviser et engagement og forstår udbyttet ved at arbejde med informationssikkerhed. På den måde skabes de bedste betingelser for en høj grad af bevidsthed om informations­sikkerhed i hele organisationen.

Opmærksomhed
For at opnå det ønskede resultat af organisationens LIS skal ledelsen kommunikere: ”Hvad, hvordan og hvorfor” til samtlige medarbejdere. Informationen bør tilpasses til medarbejdernes forskellige roller.

Risk Management
Risikohåndtering dækker over processen med at identificere, analysere, vurdere, evaluere og reducere risici til et acceptabelt niveau samt at implementere de sikkerhedsforanstaltnin­ger, der er nødvendige for at opretholde det ønskede sikkerhedsniveau.

Kontinuitet
Et af de vigtigste områder i ISO 27001 er at forhindre nedbrud i virksomhedens aktiviteter og at beskytte kritiske processer mod eftervirkningerne fra alvorlige fejl i informationssys­temet eller andre katastrofer. Derudover skal systemet sikre genstart inden for rimelig tid.

Compliance og lovmæssige krav
ISO 27001 omfatter også tiltag, der forhindrer overtrædelsen af love, regulativer og kontrak­tlige forpligtelser. Til en vis grad dækker ISO 27001 endda kravene i Sarbanes-Oxley Act (SOX) eller andre selskabskoder.

Læs mere omkring ISO 27001 her

Yderligere information:

Søren Haakonsen
Telefon: + 45 2296 7600
Mail: soren.haakonsen@intertek.com

Lars Christensen
Telefon: + 45 2052 3363
Mail: lars.christensen@intertek.com