ISO/IEC 27001 Informationssikkerhed

I takt med øget digitalisering stiger risikoen for hackerangreb og IT-kriminalitet. Informationssikkerhed ISO 27001 er derfor noget enhver organisation lige fra webbutikker til kommuner bør forholde sig til.

Køb standarden i webshop Kursusoversigt

Hvad er ISO/IEC 27001?

ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde. ISO 27001 opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.

Formålet med ISO/IEC 27001 er at opnå effektiv informationssikkerhedsledelse, der passer til en virksomheds særlige behov, samt sikre at denne effektivitet fastholdes gennem en proces for løbende forbedring. Det betyder, at informationssikkerheden hele tiden opdateres, således at virksomheden er i stand til at håndtere udfordringerne i en forretningsverden under konstant forandring.

ISO/IEC 27001 er en standard, som man som virksomhed kan blive certificeret i. Med en certificering har din virksomhed dokumentation for, at den lever op til kravene i standarden.

Kontakt

Anders Linde
Anders Linde Chefkonsulent | Chief Consultant
Rådgivning
E: ali@ds.dk
T: 39966329

Hvorfor er informationssikkerhed vigtigt?

Informationssikkerhed er væsentligt for alle, der besidder informationer – hvad enten det er fysiske, digitale eller talte – og kan have betydelige konsekvenser for både overholdelse af lovgivning, organisationens aktiviteter og succes samt troværdighed og image.

Baggrund:
I løbet af de seneste 20 år er risikoen for cyberangreb og IT-kriminalitet som følge af mangel på informationssikkerhed steget markant. Det skyldes ikke mindst brugen af internettet som middel til at gøre forretning og skaffe sig adgang til store mængder information. Og i takt med en stigende efterspørgsel efter flere opkoblingsmuligheder og forretningsadgange via mobile teknologier samt øget udveksling af data stiger risikoen, for at informationssikkerheden kompromitteres yderligere.

Det betyder:
Når information mistes, ødelægges, stjæles eller bliver utilgængelig, går det ud over virksomhedens renommé og kundernes tillid. Personfølsomme oplysninger kan blive stjålet på mange måder, fx via internettet, ved tyveri af bærbare computere via skade på IT-systemer eller via andre sårbare informationskilder. Derfor står erhvervslivet og samfundet over for mange risici, i takt med at flere og flere data gøres digitale og afhængigheden af IT-systemer stiger.

Virksomheder bør have kendskab til sådanne risici og ledelsesmæssigt tage skridt til at beskytte deres virksomhed.

Digitaliseringsstyrelsen gennemfører løbende analyser om borgernes oplevelser med og kendskab til informationssikkerhed. De mest markante observationer fra undersøgelserne er bl.a., at de færreste danskere beskytter egne data med sikkerhedskopiering, og mange også benytter samme passwords til forskellige tjenester.

Hvad er informationssikkerhed?

ISO/IEC 27001 stiller krav til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed (ISMS). Indførelsen af et ledelsessystem for informationssikkerhed er en strategisk beslutning for en organisation. Det er vigtigt, at ledelsessystemet er en del af og er integreret med organisationens processer og overordnede ledelsesstruktur, samt at det tager højde for informationssikkerheden i planlægningen af processer, informationssystemer og kontroller.

Alle offentlige virksomheder er i dag underlagt at følge principperne i standarden ISO/IEC 27001. Standarden er desuden et godt afsæt til at håndtere kravene i persondataforordningen, der trådte i kraft i maj 2018.

Lovgivning og krav vedrørende informationssikkerhed

Nogle love og forskrifter er fælles for de fleste lande, fx:

  • Lovgivning om databeskyttelse og datasikkerhed
  • Lovgivning om ophavsret, patenter, varemærkeret og digitale rettigheder
  • Lovgivning om computermisbrug eller hacking
  • Lovgivning om brug af elektronisk signatur (særligt vigtigt for sikkerheden ved onlinebetalinger).

Mange nye love og myndighedsregler indeholder krav til informationssikkerhed, som virksomheder skal overholde. Nogle erhvervsforsikringsselskaber kræver nu dokumentation for, at der er styr på informationssikkerheden før de tilbyder forsikringsdækning.

Persondataforordningen (GDPR)

Den 25. maj 2016 blev persondataforordningen fra EU vedtaget. Den trådte i kraft 25. maj 2018 og indgår i EU-landenes egne lovgivninger på området, dog med plads til national supplerende lovgivning på en række områder. 

De EU-kravene overlapper på en lang række områder kravene i standarden ISO/IEC 27001 for informationssikkerhed. Persondataforordningen opstiller skærpede krav til behandling og beskyttelse af persondata. Med afsæt i standarder er man godt klædt på til at håndtere kravene.

Dansk Standard tilbyder kurser i informationssikkerhed med afsæt i privacy-standarden og kravene i persondataforordningen. 

Foto af Clay Banks

5 gode råd til virksomheder der skal i gang med at arbejde med informationssikkerhed

  1. Start med at etablere et udvalg for informationssikkerhed, der består af en blanding af forretningsfolk og IT-repræsentanter. Det må aldrig blive et rent IT-teknisk anliggende, da IT- og informationssikkerhed jo også handler om at pege på fejl og mangler hos IT-enheden eller dens leverandører. Det er desuden afgørende, at den øverste ledelse viser deres støtte og opbakning – helst ved at indtage formandsstolen i styrekomitéen. Komitéens fornemmeste opgave er at fastlægge og derefter forestå Information Security Governance i virksomheden. Dvs. at beslutte strategi og vision samt fastsætte organiseringen og de ressourcer, der skal anvendes på området.

  2. Lad være med at forsøge at genopfinde den dybe tallerken – brug de standarder, der allerede findes (DS/ISO og ISF’s Standard of Good Practise). De er alle grundigt gennemtænkt og afprøvet tusindvis af steder. Så kan du altid justere dem, så de passer til din virksomhed.

  3. Ansæt en person, der har informationssikkerhed som sit primære arbejdsområde. Undersøgelser viser, at virksomheder, der gør det, har markant færre alvorlige hændelser. Det handler om ejerskabsfølelse og klare roller.

  4. Skab opmærksomhed omkring emnet. Det er vigtigt at få promoveret god skik og etik blandt brugerne, fx i forbindelse med brug af internet, sociale medier, håndtering af personoplysninger i både små og større mængder.

  5. Stil de nødvendige ressourcer til rådighed, der passer til virksomhedens størrelse og modenhed. Man må ikke tro, at én person kan løse IT-sikkerhedsproblemet i en virksomhed med et femcifret antal medarbejdere, mens det måske vil være passende i en mindre virksomhed.

Hovedprincipperne i informationssikkerhed

Informationssikkerhed skal bevare fortrolighedintegritet og tilgængelighed af information ved hjælp af en risikostyringsproces og sikre, at interessenter har tillid til, at risici hånderes på en ordentlig måde.

Fortrolighed

Beskyttelse af informationer mod uautoriseret videregivelse eller adgang. Eksempel: beskyttelse mod uautoriseret adgang til en persons kreditkort eller økonomiske informationer, som personen forventer opbevares på fortrolig måde, eller til hemmelige designspecifikationer, forskningsresultater, markedsprognoser og analyser.

Integritet

Beskyttelse af informationer mod uautoriseret ændring eller ødelæggelse, også utilsigtet ødelæggelse samt sikring af informationernes nøjagtighed og pålidelighed. Eksempel: en persons sygejournal eller personoplysninger eller virksomhedsregnskaber skal være nøjagtige, herunder informationer, der er afgørende for, at et forretningssystem kan fungere effektivt, som fx en virksomheds lønudbetalinger, fakturering og/eller lagerstyring.

Tilgængelighed

Beskyttelse af informationer mod uautoriseret adgangsforbud for de personer, som har retmæssig adgang. Eksempel: når en virksomheds databaseserver har været udsat for et såkaldt DoS-angreb (fx forårsaget af en computervirus), kan informationerne i databasen blive utilgængelige, hvilket vil kunne medføre et større systemnedbrud. Alternativt kan tyveri af mobile enheder, som fx en bærbar computer, resultere i, at ejermanden også mister adgangen til de informationer, der var indeholdt i computeren.

Foto af Timon Studler

Fakta om ISO/IEC 27001

Hvad koster ISO/IEC 27001

Du kan købe standarden for informationssikkerhed ISO/IEC 2700 hos Dansk Standard.

Køb standarden (link til vores webshop).

Andre standarder vedr. informationssikkerhed

ISO/IEC 27001 for små og mellemstore virksomheder - praktiske råd

Bogen giver praktiske råd til små og mellemstore virksomheder, uanset om deres aktiver er medarbejdere, processer eller informationsteknologisystemer. Den beskriver nøje de processer, der gør det muligt for en virksomhed at etablere, implementere, evaluere, overvåge, styre og vedligeholde et effektivt ISMS-system.

Køb bogen her.

Køb standardpakke it-sikkerhed

”Standardpakke It-sikkerhed” er en samling af standarder og hæfter, som indeholder de grundlæggende standarder om informationssikkerhed. Du sparer 25 % ift. løssalgsprisen.

Køb samlingen her.

Hvem bruger ISO/IEC 27001

Kravene i standarden for informationssikkerhed er generiske og er beregnet til at gælde for alle organisationer, uanset type, størrelse og art.

ISO/IEC 27001 certificering

Dansk Standard tilbyder ikke certificering, men bidrager gerne med rådgivning og viden herom.

Krav om ISO/IEC 27001 i den offentlige sektor

Den nationale strategi for cyber- og informationssikkerhed (2014) stiller krav til statslige myndigheder om at implementere og arbejde systematisk efter sikkerhedsstandarden ISO/IEC 27001. Med den seneste fællesoffentlige digitaliseringsstrategi (2016-2020) er den øvrige del af den offentlige sektor nu underlagt et krav om at følge principperne i standarden.

Hvorfor ISO/IEC 27001? Hvad er værdien?

Med en systematisk tilgang til styring af risici, kan organisationen investere i informationssikkerhed, hvor det giver størst muligt afkast – hvad enten det indebærer beskyttelse af organisationens fysiske rammer, IT-tekniske kontroller eller en ændring af medarbejdernes adfærd.

Dette vil kunne bidrage til

  1. Konkurrenceevne: Bedre struktur og prioritering. Styrket forståelse og ansvarsbevidsthed i alle forretningsprocesser

  2. Effektivisering: Bedre balance mellem kvalitet, kontrol og forretning – dokumenterede forretningsgange. Mere driftsikkerhed.

  3. Arbejdsglæde: Overblik og arbejdstryghed. Fælles fokus og baseline

  4. Compliance: Sikring af compliance i forhold til love, regeringskrav, leverandøraftaler og benyttede best practices.

  5.  Goodwill: En øget tillid hos kunder, leverandører og samarbejdspartnere. Bedre forsikringsvilkår

Har I brug for sparring i jeres arbejde med informationssikkerhed?

Vi hjælper private såvel som offentlige virksomheder og organisationer. Få bl.a. kortlagt jeres nuværende informationssikkerhedssituation eller få viden om udviklings- og forbedringsmuligheder for eksisterende systemer. 

SMV'er kan søge om op til 100.000 kroners rådgivning i informationssikkerhed eller privacy. 

Kontakt Anders Linde, chefkonsulent i Dansk Standard, på e-mail ali@ds.dk eller tlf. 39966329. Anders vores ekspert i anvendelse og implementering af ISO/IEC 27001 for informationssikkerhed. 

Han har bl.a. hjulpet Forsvaret, Danmarks Domstole og Københavns Kommune med rådgivning indenfor informationssikkerhed.

Vi tilbyder også kurser i informationssikkerhed. Brug fx tre timer eller en dag på at lære om ISO/IEC 27001. Vi udbyder også diplomkursus samt virksomhedstilpassede kurser. 

 

Nyttige links og værktøjer

Erhvervsministeriet har bl.a. udviklet to værktøjer, der hjælper virksomhederne med at komme i gang med arbejdet med cyber- og informationssikkerhed.

PrivacyKompasset er et online værktøj, der tilbyder hjælp til særligt små og mellemstore virksomheder til at kortlægge deres brug af data.

Erfaringer med ISO 27001

e-Boks har siden 2015 fulgt standarden for informationssikkerhed, ISO/IEC 27001. Jacob Zwicki, Head of Security hos e-Boks, er ikke i tvivl om, at ISO 27001 i sidste ende har betydning for e-Boks’ troværdighed.

Standardisering, dokumentation og det aktive arbejde med risici øger sikkerheden betydeligt. Vi lever af troværdighed, og det gør mange af vores kunder og samarbejdspartnere også. Derfor er det vigtigt, at sikkerheden er formaliseret i vores organisation. e-Boks er en meget vigtig komponent i dansk digital infrastruktur. Derfor har vi også et særligt ansvar for, at sikkerheden håndteres omhyggeligt.

Jacob Zwicki
Head of Security, e-Boks

 

 

Andre ledelsesstandarder

Læs også om andre ledesessystemer