ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde. ISO 27001 opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.
Formålet med ISO/IEC 27001 er at opnå effektiv informationssikkerhedsledelse, der passer til en virksomheds særlige behov, samt sikre at denne effektivitet fastholdes gennem en proces for løbende forbedring. Det betyder, at informationssikkerheden hele tiden opdateres, således at virksomheden er i stand til at håndtere udfordringerne i en forretningsverden under konstant forandring.
ISO/IEC 27001 er en standard, som man som virksomhed kan blive certificeret i. Med en certificering har din virksomhed dokumentation for, at den lever op til kravene i standarden.
Med en systematisk tilgang til styring af risici, kan organisationen investere i informationssikkerhed, hvor det giver størst muligt afkast – hvad enten det indebærer beskyttelse af organisationens fysiske rammer, IT-tekniske kontroller eller en ændring af medarbejdernes adfærd.
Dette vil kunne bidrage til
Få jeres informationssikkerhed i orden. Vi har flere kurser inden for ISO 27000-serien, lige fra når man ønsker at implementere ISO 27001, til man ønsker at gå i dybden med de tilhørende standarder.
Se kursusoversigtInformationssikkerhed handler om at sikre sine data og informationer. Det kan nemlig have alvorlige konsekvenser, hvis virksomhedens information bliver ødelagt, stjålet eller på anden vis bliver utilgængelig.
ISO/IEC 27001 stiller krav til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed (ISMS). Indførelsen af et ledelsessystem for informationssikkerhed er en strategisk beslutning for en organisation. Det er vigtigt, at ledelsessystemet er en del af og er integreret med organisationens processer og overordnede ledelsesstruktur, samt at det tager højde for informationssikkerheden i planlægningen af processer, informationssystemer og kontroller.
Alle offentlige virksomheder er i dag underlagt at følge principperne i standarden ISO/IEC 27001. Standarden er desuden et godt afsæt til at håndtere kravene i persondataforordningen, der trådte i kraft i maj 2018.
Nogle love og forskrifter er fælles for de fleste lande, fx:
Mange nye love og myndighedsregler indeholder krav til informationssikkerhed, som virksomheder skal overholde. Nogle erhvervsforsikringsselskaber kræver nu dokumentation for, at der er styr på informationssikkerheden før de tilbyder forsikringsdækning.
Den 25. maj 2016 blev persondataforordningen fra EU vedtaget. Den trådte i kraft 25. maj 2018 og indgår i EU-landenes egne lovgivninger på området, dog med plads til national supplerende lovgivning på en række områder.
De EU-kravene overlapper på en lang række områder kravene i standarden ISO/IEC 27001 for informationssikkerhed. Persondataforordningen opstiller skærpede krav til behandling og beskyttelse af persondata. Med afsæt i standarder er man godt klædt på til at håndtere kravene.
Dansk Standard tilbyder kurser i informationssikkerhed med afsæt i privacy-standarden og kravene i persondataforordningen.
Når information mistes, ødelægges, stjæles eller bliver utilgængelig, går det ud over virksomhedens renommé og kundernes tillid.
Informationssikkerhed er væsentligt for alle, der besidder informationer – hvad enten det er fysiske, digitale eller talte – og kan have betydelige konsekvenser for både overholdelse af lovgivning, organisationens aktiviteter og succes samt troværdighed og image.
Baggrund:
I løbet af de seneste 20 år er risikoen for cyberangreb og IT-kriminalitet som følge af mangel på informationssikkerhed steget markant. Det skyldes ikke mindst brugen af internettet som middel til at gøre forretning og skaffe sig adgang til store mængder information. Og i takt med en stigende efterspørgsel efter flere opkoblingsmuligheder og forretningsadgange via mobile teknologier samt øget udveksling af data stiger risikoen, for at informationssikkerheden kompromitteres yderligere.
Det betyder:
Personfølsomme oplysninger kan blive stjålet på mange måder, fx via internettet, ved tyveri af bærbare computere via skade på IT-systemer eller via andre sårbare informationskilder. Derfor står erhvervslivet og samfundet over for mange risici, i takt med at flere og flere data gøres digitale og afhængigheden af IT-systemer stiger.
Virksomheder bør have kendskab til sådanne risici og ledelsesmæssigt tage skridt til at beskytte deres virksomhed.
Til denne proces benyttes et såkaldt SoA-dokument, hvor organisationen skal forholde sig til de til- og fravalg af foranstaltninger, som organisationen vil implementere for at håndtere de identificerede risici.
Digitaliseringsstyrelsen gennemfører løbende analyser om borgernes oplevelser med og kendskab til informationssikkerhed. De mest markante observationer fra undersøgelserne er bl.a., at de færreste danskere beskytter egne data med sikkerhedskopiering, og mange også benytter samme passwords til forskellige tjenester.
Informationssikkerhed skal bevare fortrolighed, integritet og tilgængelighed af information ved hjælp af en risikostyringsproces og sikre, at interessenter har tillid til, at risici hånderes på en ordentlig måde.
Beskyttelse af informationer mod uautoriseret videregivelse eller adgang. Eksempel: beskyttelse mod uautoriseret adgang til en persons kreditkort eller økonomiske informationer, som personen forventer opbevares på fortrolig måde, eller til hemmelige designspecifikationer, forskningsresultater, markedsprognoser og analyser.
Beskyttelse af informationer mod uautoriseret ændring eller ødelæggelse, også utilsigtet ødelæggelse samt sikring af informationernes nøjagtighed og pålidelighed. Eksempel: en persons sygejournal eller personoplysninger eller virksomhedsregnskaber skal være nøjagtige, herunder informationer, der er afgørende for, at et forretningssystem kan fungere effektivt, som fx en virksomheds lønudbetalinger, fakturering og/eller lagerstyring.
Beskyttelse af informationer mod uautoriseret adgangsforbud for de personer, som har retmæssig adgang. Eksempel: når en virksomheds databaseserver har været udsat for et såkaldt DoS-angreb (fx forårsaget af en computervirus), kan informationerne i databasen blive utilgængelige, hvilket vil kunne medføre et større systemnedbrud. Alternativt kan tyveri af mobile enheder, som fx en bærbar computer, resultere i, at ejermanden også mister adgangen til de informationer, der var indeholdt i computeren.
Vi hjælper private såvel som offentlige virksomheder og organisationer. Få bl.a. kortlagt jeres nuværende informationssikkerhedssituation eller få viden om udviklings- og forbedringsmuligheder for eksisterende systemer.
Kontakt Mette Krogh Sørensen, seniorkonsulent, e-mail mks@ds.dk, telefon 39 96 62 24. Mette er vores ekspert i anvendelse og implementering af ISO/IEC 27001 for informationssikkerhed.
Vi tilbyder også kurser i informationssikkerhed. Brug fx tre timer eller en dag på at lære om ISO/IEC 27001. Vi udbyder også diplomkursus samt virksomhedstilpassede kurser.
Erhvervsministeriet har bl.a. udviklet to værktøjer, der hjælper virksomhederne med at komme i gang med arbejdet med cyber- og informationssikkerhed.
PrivacyKompasset er et online værktøj, der tilbyder hjælp til særligt små og mellemstore virksomheder til at kortlægge deres brug af data.
e-Boks har siden 2015 fulgt standarden for informationssikkerhed, ISO/IEC 27001. Jacob Zwicki, Head of Security hos e-Boks, er ikke i tvivl om, at ISO 27001 i sidste ende har betydning for e-Boks’ troværdighed.
Standardisering, dokumentation og det aktive arbejde med risici øger sikkerheden betydeligt. Vi lever af troværdighed, og det gør mange af vores kunder og samarbejdspartnere også. Derfor er det vigtigt, at sikkerheden er formaliseret i vores organisation. e-Boks er en meget vigtig komponent i dansk digital infrastruktur. Derfor har vi også et særligt ansvar for, at sikkerheden håndteres omhyggeligt.
Jacob Zwicki
Head of Security, e-Boks
ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.
ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.
Et SoA-dokument består af en liste med foranstaltninger, der kan være relevante for en organisation at implementere i forbindelse med organisationens risikohåndtering.
ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.
Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.
Cyber Resilience Act er en ny EU-forordning som stiller fælleseuropæiske cybersikkerhedskrav til produkter med digitale elementer. Med forordningen følger en række standarder, der skal hjælpe virksomhederne med at leve op til de horisonale cybersikkerhedskrav.
Den europæiske forordning om cybersikkerhed har til formål at etablere en fælles europæisk ramme for certificering inden for cybersikkerhed, som forventes at bygge på eksisterende standarder.
Dataforordningen (Data Act) skal skabe harmoniserede regler om fair adgang til og anvendelse af data og gøre det lettere for europæiske virksomheder at dele og anvende data.
Forordningen om kunstig intelligens (AI Act) skal sikre fælles spilleregler for brugen og udviklingen af kunstig intelligens. Med forordningen følger en række standarder, der skal hjælpe virksomhederne med at leve op til kravene om kunstig intelligens, som forordningen stiller.
Datastyringsforordningen (Data Governance Act) har til formål at skabe tillid til datadeling til gavn for samfundet, og der skal bl.a. prioriteres tværsektorielle standarder for datadeling og interoperabilitet.
Databeskyttelsesforordningen (GDPR) fastlægger fælleseuropæiske retningslinjer for håndteringen af personoplysninger for virksomheder, organisationer, myndigheder mm.
NIS2-direktivet indeholder skærpede krav til cyber- og informationssikkerhed i forhold til kritisk infrastruktur. Direktivet opfordrer til at anvende internationale, anerkendte standarder.
