- Cookies - På ds.dk bruger vi cookies til at samle statistik og forbedre hjemmesiden. Når du fortsætter med at bruge websitet, accepterer du samtidig brugen af cookies.

Acceptér cookies

Informationssikkerhed | ISO/IEC 27001

09 oktober 2017

I takt med øget digitalisering stiger risikoen for hackerangreb og it-kriminalitet. Informationssikkerhed er derfor noget enhver organisation, lige fra webbutikker til kommuner, bør forholde sig til.

Sådan ligger landet:

I løbet af de sidste 20 år er risikoen for cyberangreb og it-kriminalitet som følge af mangel på informationssikkerhed steget markant. Det skyldes ikke mindst brugen af internettet som middel til at gøre forretning og skaffe sig adgang til store mængder information. Og i takt med en stigende efterspørgsel efter flere opkoblingsmuligheder og forretningsadgange via mobile teknologier samt øget udveksling af data, stiger risikoen for at informationssikkerheden kompromitteres yderligere.

Det betyder:

Når information mistes, ødelægges, stjæles eller bliver utilgængelig, går det ud over virksomhedens renommé og kundernes tillid. Personfølsomme oplysninger kan blive stjålet på mange måder, fx via internettet, ved tyveri af bærebare computere via skade på it-systemer eller via andre sårbare informationskilder. Erhvervslivet og samfundet står over for mange risici, i takt med at flere og flere data gøres digitale og afhængigheden af it-systemer fortsat stiger.

Derfor bør virksomheder have kendskab til sådanne risici og ledelsesmæssigt tage skridt til at beskytte deres virksomhed.

Hvorfor er det vigtigt?

Informationssikkerhed er væsentligt for alle, der besidder informationer – hvad enten det er fysiske, digitale eller talte – og kan have betydelige konsekvenser for både overholdelse af lovgivning, organisationens aktiviteter og succes samt troværdighed og image.

En ny undersøgelse, udarbejdet af Digitaliseringsstyrelsen og DKCERT, ser nærmere på danskernes oplevelser med og kendskab til informationssikkerhed (Danskernes informationssikkerhed 2016 - pdf).

Rapporten viser bl.a. at:

  • 34 procent af borgerne havde oplevet mindst en af fire trusler mod informationssikkerheden: Infektion med skadelig software, misbrug af fortrolige oplysninger, økonomisk tab og tab af data.
  • 16 procent af de offentligt ansatte og 17 procent af de privatansatte har været udsat for mindst en af fire trusler mod informationssikkerheden: Infektion med skadelig software, tab af data efter et angreb, tab af data grundet manglende backup, eller at uvedkommende fik adgang til data, vedkommende havde ansvaret for.

5 gode råd til virksomheder der skal i gang med at arbejde med informationssikkerhed

  1. Start med at etablere en it-sikkerheds-styrekomité, der består af en blanding af forretningsfolk og it-repræsentanter. Det må aldrig blive et rent it-teknisk anliggende, da it- og informationssikkerhed jo også handler om at pege på fejl og mangler hos it-enheden eller dens leverandører. Det er desuden afgørende, at den øverste ledelse viser deres støtte og opbakning – helst ved at indtage formandsstolen i styrekomitéen. Komitéens fornemmeste opgave er at fastlægge og derefter forestå Information Security Governance i virksomheden. Dvs. at beslutte strategi og vision samt fastsætte organiseringen og de ressourcer, der skal anvendes på området.

  2. Lad være med at forsøge at genopfinde den dybe tallerken – brug de standarder, der allerede findes (DS/ISO og ISF’s Standard of Good Practise). De er alle grundigt gennemtænkt og afprøvet tusindvis af steder. Så kan du altid justere dem, så de passer til din virksomhed.

  3. Ansæt en person, der har informationssikkerhed som sit primære arbejdsområde. Undersøgelser viser, at virksomheder, der gør det, har markant færre alvorlige hændelser. Det handler om ejerskabsfølelse og klare roller.

  4. Skab opmærksomhed omkring emnet. Det er vigtigt at få promoveret god skik og etik blandt brugerne, fx i forbindelse med brug af internet, sociale medier, håndtering af personfølsomme data i både små og større mængder.

  5. Stil de nødvendige ressourcer til rådighed, der passer til virksomhedens størrelse og modenhed. Man må ikke tro, at én person kan løse it-sikkerheds-problemet i en virksomhed med et femcifret antal medarbejdere, mens det måske vil være passende i en mindre virksomhed.

Lovgivning og krav vedrørende informationssikkerhed

Nogle love og forskrifter er fælles for de fleste lande, fx:

  • Lovgivning om databeskyttelse og datasikkerhed
  • Lovgivning om ophavsret, patenter, varemærkeret og digitale rettigheder
  • Lovgivning om computermisbrug eller hacking
  • Lovgivning om brug af elektronisk signatur (særligt vigtigt for sikkerheden ved onlinebetalinger)

Mange nye love og myndighedsregler indeholder krav til informationssikkerhed, som virksomheder skal overholde. Nogle erhvervsforsikringsselskaber kræver nu dokumentation for, at der er styr på informationssikkerheden før de tilbyder forsikringsdækning.

Værd at vide:

På Digitaliseringsstyrelsens hjemmeside findes en oversigt over love, der indeholder regler for informationssikkerhed: Udvalgte love med krav til informationssikkerhed.

Persondataforordningen (GDPR)

Den 25. maj 2016 blev den nye persondataforordning fra EU vedtaget. Den træder i kraft 25. maj 2018 og vil indgå i EU-landenes egne lovgivninger på området, dog med plads til national supplerende lovgivning på en række områder. 

De nye EU-krav overlapper på en lang række områder med kravene i standarden ISO/IEC 27001 for informationssikkerhed. Den nye persondataforordning opstiller skærpede krav til behandling og beskyttelse af persondata. Med afsæt i standarder er man godt klædt på til at håndtere de nye krav.

Dansk Standard tilbyder kurser med afsæt i privacy-standarden og de nye krav i den kommende persondataforordning. Du kan læse programmet under hver kursusdato:

Læs også: Få et lynoverblik over de nye regler. 5 skarpe om persondataforordningen.

Hvad er ISO/IEC 27001?

Formålet med ISO/IEC 27001 er at opnå effektiv informationssikkerhedsledelse, der passer til en virksomheds særlige behov samt sikre, at denne effektivitet fastholdes gennem en proces for løbende forbedring. Det betyder, at informationssikkerheden løbende opdateres, således at virksomheden er i stand til at håndtere udfordringerne i en forretningsverden under konstant forandring.

Kender du din virksomheds risici:

ISO/IEC 27001 stiller derfor krav til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed (ISMS). Indførelsen af et ledelsessystem for informationssikkerhed er en strategisk beslutning for en organisation. Det er vigtigt, at ledelsessystemet er en del af og er integreret med organisationens processer og overordnede ledelsesstruktur, og at det tager højde for informationssikkerheden i planlægningen af processer, informationssystemer og kontroller.

Informationssikkerhed skal bevare fortrolighed, integritet og tilgængelighed af information ved hjælp af en risikostyringsproces og sikre, at interessenter har tillid til, at risici hånderes på en ordentlig måde.

Fortrolighed

Beskyttelse af informationer mod uautoriseret videregivelse eller adgang. Eksempel: beskyttelse mod uautoriseret adgang til en persons kreditkort eller økonomiske informationer, som personen forventer opbevares på fortrolig måde, eller til hemmelige designspecifikationer, forskningsresultater, markedsprognoser og analyser.

Integritet

Beskyttelse af informationer mod uautoriseret ændring eller ødelæggelse, også utilsigtet ødelæggelse samt sikring af informationernes nøjagtighed og pålidelighed. Eksempel: en persons sygejournal eller personoplysninger eller virksomhedsregnskaber skal være nøjagtige, herunder informationer, der er afgørende for, at et forretningssystem kan fungere effektivt, som fx en virksomheds lønudbetalinger, fakturering og/eller lagerstyring.

Tilgængelighed

Beskyttelse af informationer mod uautoriseret adgangsforbud for de personer, som har retmæssig adgang. Eksempel: når en virksomheds databaseserver har været udsat for et såkaldt DoS-angreb (fx forsaget af en computervirus), kan informationerne i databasen blive utilgængelige, hvilket ville kunne medføre et større systemnedbrud. Alternativt kan tyveri af mobile enheder, som fx en bærbar computer, resultere i, at ejermanden også mister adgangen til de informationer, der var indeholdt i computeren.

Hvorfor ISO/IEC 27001? Hvad er værdien?

Med en systematisk tilgang til styring af risici, kan organisationen investere i informationssikkerhed, hvor det giver størst muligt afkast – hvad enten det indebærer beskyttelse af organisationens fysiske rammer, it-tekniske kontroller eller en ændring af medarbejdernes adfærd.

Dette vil kunne bidrage til

  1. Konkurrenceevne: Bedre struktur og prioritering. Styrket forståelse og ansvarsbevidsthed i alle forretningsprocesser

  2. Effektivisering: Bedre balance mellem kvalitet, kontrol og forretning – dokumenterede forretningsgange. Mere driftsikkerhed.

  3. Arbejdsglæde: Overblik og arbejdstryghed. Fælles fokus og baseline

  4. Compliance: Sikring af compliance i forhold til love, regeringskrav, leverandøraftaler og benyttede best practices.

  5.  Goodwill: En øget tillid hos kunder, leverandører og samarbejdspartnere. Bedre forsikringsvilkår

Læs også: En ny undersøgelse viser, at 90 pct. af de danske virksomheder, der arbejder med standarden ISO/IEC 27001 for informationssikkerhed, oplever en bedre beskyttelse af følsomme eller kritiske data. Informationssikkerhed styrker forretningen.

Erfaringer med standarden

e-Boks har siden 2015 fulgt informationssikkerhedsstandarden ISO/IEC 27001. Jacob Zwicki, Head of Security hos e-Boks, er ikke i tvivl om, at ISO 27001 i sidste ende har betydning for e-Boks’ troværdighed.

Standardisering, dokumentation og det aktive arbejde med risici øger sikkerheden betydeligt. Vi lever af troværdighed, og det gør mange af vores kunder og samarbejdspartnere også. Derfor er det vigtigt, at sikkerheden er formaliseret i vores organisation. e-Boks er en meget vigtig komponent i dansk digital infrastruktur. Derfor har vi også et særligt ansvar for, at sikkerheden håndteres omhyggeligt.

Jacob Zwicki
Head of Security
e-Boks

Har I brug for sparring i jeres arbejde med informationssikkerhed?

Vi hjælper private såvel som offentlige virksomheder og organisationer. Få bl.a. kortlagt jeres nuværende informationssikkerhedssituation eller få viden om udviklings- og forbedringsmuligheder for eksisterende systemer. 

Anders Linde Kontakt Anders Linde, chefkonsulent i Dansk Standard, på e-mail ali@ds.dk eller tlf. 39966329. Anders har 8 års erfaring med anvendelse og implementering af ISO/IEC 27001 for informationssikkerhed. 

Anders har bl.a. hjulpet Forsvaret, Danmarks Domstole og Kbh. Kommune med rådgivning inden for informationssikkerhed.

Vi tilbyder også kurser i informationssikkerhed. Brug fx 3 timer eller en dag på at lære om ISO/IEC 27001. Vi udbyder også diplomkursus samt virksomhedstilpasset kurser. 

Nyttige links og værktøjer

Erhvervsministeriet har blandt andet udviklet to værktøjer, der hjælper virksomhederne med at komme i gang med arbejdet med cyber- og informationssikkerhed.

PrivacyKompasset er et online værktøj, der tilbyder hjælp til særligt små- og mellemstore virksomheder til at kortlægge deres brug af data.

Sikkerhedstjekket giver et overblik over, om der er svagheder i jeres IT-sikkerhed og målrettet vejledning om, hvor der bør sættes ind først for at mindske risikoen for at blive ramt.

Digitaliseringsstyrelsen har udviklet en guide til implementering af ISO 27001.