En stadig mer digitalisert verden er håndtering av informasjonssikkerhet og personvern blitt en kritisk faktor for virksomheters suksess og omdømme. Et mer krevende digitalt risikobilde og økende forventninger fra kunder gjør det nødvendig for virksomheter å vise at de har full kontroll. 

Hvorfor er det viktig?

Flere lover, blant annet digitalsikkerhetsloven (NIS direktiv), personopplysningsloven (GDPR forordningen) og sikkerhetsloven stiller krav om et ledelsessystem for informasjonssikkerhet og personvern. Ønsker du mer informasjon om digitalsikkerhetsloven finner du mer informasjon i artikkelen Er din virksomhet klar for NIS-direktivet og loven om digital sikkerhet

Virksomheter vil derfor oftere møte kundenes krav til dokumentert systematisk regime informasjonssikkerhet og personvern. En ISO 27001 sertifisering er det beste beviset på at man tar dette på alvor. Flere og flere kunder krever derfor at deres leverandører har et operativt «ledelsessystem for informasjonssikkerhet og personvern» (Information Security Management System, ISMS) på plass, eller helst at virksomheten er sertifisert mot ISO 27001. 

Veien mot ISO 27001 sertifisering

Skjermbilde 2023-11-29 kl. 15.33.19

Figur 1 viser stegene på veien til sertifisering. Omfanget er litt avhengig av utgangspunktet, det kreves en viss modenhet for å bli sertifisert. Habberstad har erfaring med å bistå virksomheter i hele prosessen frem til sertifisering, det kan gjennomføres på under et år.  

For å få hele organisasjonen med og et vellykket og varig resultat er det vesentlig at vi tenker endringsledelse gjennom hele løpet. Habberstad har også metodikk for prosjekt- og endringsledelse og vil ivareta de endringer som kreves på veien mot en sertifisering.  

Å innføre et ISMS er en strategisk beslutning. Ledelsen må vise sin forpliktelse, en policy må etableres og tilstrekkelig med ressurser må allokeres.

Rolf Haavik - Seniorrådgiver i Habberstad

7 steg mot sertifisering

1 . Sette ISO 27001 på agendaen

Ledelsen må vise sin forpliktelse, en policy må etableres og tilstrekkelig med ressurser må allokeres. 

2 .Intern revisjon av ISMS

Det bør først gjennomføres en intern mini-revisjon mot ISO 27001 og GDPR for å finne ut hvor virksomheten står og hva som må gjøres. 

3 .Komplettere virksomheten sitt ISMS

Virksomheten må bygge strukturer som sikrer et riktig informasjonssikkerhetsnivå, godt personvern og kontinuerlig forbedring.

4 .Gjennomgå SOA

ISO 27001 har et vedlegg kalt Annex A – Statement of Applicability (SOA), som må etableres for ISMS’et før sertifisering.  

5 .Drifte ISMS over en periode 

Det er viktig å ha et operativt ISMS en periode for å justere roller, ansvar, styrende dokumenter, rutiner og å dokumentere spor på at ISMS er i drift.

5 . Intern revisjon av ISMS

Det er viktig å ha et operativt ISMS en periode for å justere roller, ansvar, styrende dokumenter, rutiner og å dokumentere spor på at ISMS er i drift. 

6 . Gjennomføre sertifisering 

Kun godkjente sertifiseringsorgan kan sertifisere virksomheter mot ISO 27001. De krever at en rapport fra en internrevisjon eksisterer og ISMS har vært operativt i 3 mnd. 

Habberstad har god erfaring med innføring av ledelsessystem for informasjonssikkerhet og personvern som oppfyller ISO 27001 og GDPR innebygget i virksomhetens øvrige systemer og prosesser. Ved å bruke våre ressurser innen informasjonssikkerhet, sikkerhetsrevisjon og endringsledelse kan vi løfte virksomhetens arbeid med informasjonssikkerhet og gjøre veien mot sertifisering så effektiv som mulig.