ISO 27001 har en overordnet struktur som flere av de andre ISO-standardene, blant annet ISO 9001. Den felles tilnærmingen vil være nyttig for organisasjoner som velger å bruke ett ledelsessystem som oppfyller kravene i flere standarder. Standarden er relevant for enhver organisasjon med informasjon og eiendeler som trenger beskyttelse. Den hjelper også organisasjoner med å etablere politikk og mål for å forbedre informasjonssikkerheten.
Standarden er utarbeidet for å stille krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et ledelsessystem for informasjonssikkerhet. Etablering og implementering påvirkes av en organisasjons behov og mål, sikkerhetskrav, organisatoriske prosesser, samt størrelsen og strukturen på organisasjonen. Disse faktorene forventes også å endre seg over tid.
Hensikten med ISO 27001
Informasjonssikkerhet har til hensikt å bevare konfidensialiteten, integriteten og tilgjengeligheten til informasjon ved å benytte en risikostyringsprosess. Ved at risikoer er tilstrekkelig håndtert vil også tilliten vokse hos organisasjonens interesseparter.
Det er også viktig at ledelsessystemet for informasjonssikkerhet blir en del av og integrert med organisasjonens andre prosesser og overordnede styringsstruktur. I tillegg skal også informasjonssikkerhet vurderes ved utforming av prosesser, informasjonssystemer og sikringstiltak. Informasjonssikkerhet skal skaleres i samsvar med organisasjonens behov.
Det er viktig at organisasjonen forstår hvordan vesentlige aspekter, risikoer og muligheter kan administreres, implementere nødvendig kontroll og sette klare mål for å forbedre informasjonssikkerhet. Organisasjoner skal ha en helhetlig tilnærming til informasjonssikkerhet.
Slik vil ISO 27001 være nyttig for din organisasjon:
- Sikrer alle former for informasjon, inkludert papir- og skybasert data og fysiske eiendeler (datamaskiner og nettverk) på ett sted
- Økt resiliens mot cyberangrep
- Sikrer beskyttelse mot teknologibaserte risikoer og trusler
- Reagerer på nye sikkerhetstrusler som kan oppstå
- Beskytter integritet, konfidensialitet og tilgjengelig til data
- Viser organisasjonens forpliktelse til proaktivt å administrere og beskytte informasjon/eiendeler og sikre overholdelse av lovkrav
- Gir organisasjonen et konkurransefortrinn i markedet
- Spiller en viktig rolle i å bygge resiliens og bærekraftig ytelse
7 trinn for å implementere ISO 27001 i din organisasjon:
- Etabler og fordel ansvar og roller:
Den øverste ledelsen skal se til at ressurser er tilgjengelig og at ressursene har nok tid til å ivareta informasjonssikkerheten. Den øverste ledelsen skal derfor sikre at ansvar og myndighet for roller relevant for informasjonssikkerhet tildeles og kommuniseres i alle ledd i organisasjonen. - Gjennomfør risikovurdering:
Det andre steget i implementeringen av ISO 27001 er å gjennomføre en omfattende risikovurdering av organisasjonens informasjonssikkerhetssystem. Dette vil hjelpe dere med å identifisere mulige trusler og sårbarheter i organisasjonens system, samt hvilke tiltak som må implementeres for å redusere disse. - Etablere en policy:
Basert på resultatene av risikovurderingen må det utvikles en informasjonssikkerhetspolicy som skisserer tiltakene som er satt for å beskytte informasjon i organisasjonen. - Implementere kontroller:
ISO 27001 skisserer et sett med kontroller som organisasjon kan implementere for å sikre konfidensialitet, integritet og tilgjengelighet til informasjon. Det kan for eksempel være tilgangskontroll, kryptering, sikkerhetskopiering og hendelsesprosedyrer (incident respons procedures). - Opplæring: Alle ansatte må få opplæring i viktigheten av informasjonssikkerhet, og retningslinjene og prosedyrene de må følge for å sikre informasjon.
- Overvåk og gjennomgå:
Regelmessig overvåking og gjennomgåelse av organisasjonens informasjonssikkerhetssystem for å sikre at de er effektive og oppdatert. Det inkluderer regelmessig testing og oppdateringer av retningslinjer og prosedyrer, samt sikkerhetsrevisjoner. - Sertifisering:
Når alle stegene ovenfor er implementert, kan organisasjonen sertifisere seg. Det vil demonstrere ovenfor interesseparter at organisasjonen har et robust informasjonssikkerhetssystem på plass.
Artikkelen er utarbeidet av vår rådgiver Siren Hagen. Siren har mastergrad i samfunnssikkerhet og spesialiserer seg blant annet innen sikkerhet i Antenor-OTG.
Da ønsker vi lykke til med arbeidet. Antenor har bistått 300+ bedrifter både med digitale løsninger og kompetanse. Kontakt oss gjerne.
