En stadig mer digitalisert verden er håndtering av informasjonssikkerhet og personvern blitt en kritisk faktor for virksomheters suksess og omdømme. Et mer krevende digitalt risikobilde og økende forventninger fra kunder gjør det nødvendig for virksomheter å vise at de har full kontroll.
Flere lover, blant annet digitalsikkerhetsloven (NIS direktiv), personopplysningsloven (GDPR forordningen) og sikkerhetsloven stiller krav om et ledelsessystem for informasjonssikkerhet og personvern. Ønsker du mer informasjon om digitalsikkerhetsloven finner du mer informasjon i artikkelen Er din virksomhet klar for NIS-direktivet og loven om digital sikkerhet
Virksomheter vil derfor oftere møte kundenes krav til dokumentert systematisk regime informasjonssikkerhet og personvern. En ISO 27001 sertifisering er det beste beviset på at man tar dette på alvor. Flere og flere kunder krever derfor at deres leverandører har et operativt «ledelsessystem for informasjonssikkerhet og personvern» (Information Security Management System, ISMS) på plass, eller helst at virksomheten er sertifisert mot ISO 27001.
Figur 1 viser stegene på veien til sertifisering. Omfanget er litt avhengig av utgangspunktet, det kreves en viss modenhet for å bli sertifisert. Habberstad har erfaring med å bistå virksomheter i hele prosessen frem til sertifisering, det kan gjennomføres på under et år.
For å få hele organisasjonen med og et vellykket og varig resultat er det vesentlig at vi tenker endringsledelse gjennom hele løpet. Habberstad har også metodikk for prosjekt- og endringsledelse og vil ivareta de endringer som kreves på veien mot en sertifisering.
Ledelsen må vise sin forpliktelse, en policy må etableres og tilstrekkelig med ressurser må allokeres.
Det bør først gjennomføres en intern mini-revisjon mot ISO 27001 og GDPR for å finne ut hvor virksomheten står og hva som må gjøres.
Virksomheten må bygge strukturer som sikrer et riktig informasjonssikkerhetsnivå, godt personvern og kontinuerlig forbedring.
ISO 27001 har et vedlegg kalt Annex A – Statement of Applicability (SOA), som må etableres for ISMS’et før sertifisering.
Det er viktig å ha et operativt ISMS en periode for å justere roller, ansvar, styrende dokumenter, rutiner og å dokumentere spor på at ISMS er i drift.
Det er viktig å ha et operativt ISMS en periode for å justere roller, ansvar, styrende dokumenter, rutiner og å dokumentere spor på at ISMS er i drift.
Kun godkjente sertifiseringsorgan kan sertifisere virksomheter mot ISO 27001. De krever at en rapport fra en internrevisjon eksisterer og ISMS har vært operativt i 3 mnd.
Habberstad har god erfaring med innføring av ledelsessystem for informasjonssikkerhet og personvern som oppfyller ISO 27001 og GDPR innebygget i virksomhetens øvrige systemer og prosesser. Ved å bruke våre ressurser innen informasjonssikkerhet, sikkerhetsrevisjon og endringsledelse kan vi løfte virksomhetens arbeid med informasjonssikkerhet og gjøre veien mot sertifisering så effektiv som mulig.