ISO 27001 giver dig styring over informationssikkerheden

Har du som leder styr på informationssikkerheden i din virksomhed og høster du de fordele anvendelsen af en international standard som ISO27001 giver?

ISO 27001 hjælper dig med at styre informationssikkerheden

ISO 27001 er en international standard for informationssikkerhed, som skaber en ramme for styring af informationssikkerhed i mange danske og globale virksomheder og organisationer. Med udgangspunkt i risikoprofilen og det aktuelle trusselsbillede, hjælper standarden med at implementere et passende niveau af sikkerhed og kontroller, som giver mening for din virksomhed.

ISO 27001 udgør et “best practice” rammeværk for en holistisk og ledelsesforankret styring af informationssikkerhed. Det betyder i praksis, at samtlige dele af organisationen, fra direktionen til HR, IT og den enkelte medarbejder bliver inddraget i imødegåelsen af cyberangreb og sikringen af virksomheden på daglig basis.

Visse private virksomheder, såvel som statslige myndigheder, er pålagt at efterleve standarden og skal kunne dokumentere, at de har etableret et ledelsessystem (ISMS), risikovurderet deres forretning og implementeret et passende kontrolmiljø til at beskytte de mest kritiske informationsaktiver.

Med den nationale strategi for cyber- og informationssikkerhed (der forventes opdateret i 2021), er en række virksomheder i kritiske sektorer, blevet pålagt at opnå ISO 27001 certificering. For disse virksomheder, og andre der af kommercielle årsager har valgt en ISO 27001 certificering, skal de vedligeholde og løbende kunne dokumentere, at ledelsessystemet efterleves og at kontrolmiljøet er effektivt. En ekstern auditor fører kontrol med dette og udsteder certifikatet.

ISO 27001 kan give konkurrencefordele

Truslen fra cyberkriminelle såvel som en stigende digitalisering og deraf øget afhængighed af data og teknologi medfører et større krav til cyber- og informationssikkerhed.

Flere virksomheder bliver underlagt krav om at kunne dokumentere, at ledelsen har prioriteret arbejdet med sikkerhed. Disse krav kan komme fra eksterne myndigheder, kunder der selv er reguleret eller som har høje krav til sikkerhed, eller fra virksomhedens egen bestyrelse. Dermed er flere statslige myndigheder, såvel som virksomheder i de sektorer, der indgår i den nationale strategi for cyber- og informationssikkerhed, pålagt at efterleve standarden.

Hvis din virksomhed kan dokumentere, at I har implementeret en ledelsesforankret proces for styring af sikkerheden, vil I kunne opnå konkurrencefordele, da I dermed skaber tillid hos jeres kunder om, at deres data bliver varetaget på en sikker måde. ISO 27001 kan med fordel anvendes til at danne rammen for arbejdet med informationssikkerhed. Er jeres politikker og retningslinjer baseret på en international standard, vil det anerkendes af kunder og myndigheder.

Hvad skal du gøre for at leve op til kravene?

Arbejdet med ISO 27001 forudsætter ledelsesopbakning og fokus fra ledelsen på at sætte rammerne for en mere formaliseret og risikobaseret tilgang til arbejdet med sikkerhed, og etablere roller og ansvar for at sikre forankring i organisationen. Forretningen skal være med til at identificere og vurdere risikoen for de mest kritiske informationsaktiver og støtte op om at etablere et kontrolmiljø, der sikrer en passende beskyttelse.

ISO 27001 implementering kræver et vist niveau af dokumentation, så ledelsessystemet for informationssikkerhed (ISMS - Information Security Management System) skal være beskrevet, herunder dokumentation af politikken for informationssikkerhed, roller og ansvar, styring af risici, og måling af kontrolmiløets effektivitet, m.v.

Sådan kan vi hjælpe dig med ISO 27001

PwC har stor erfaring med ISO 27001 standarden og kan bidrage til at din virksomhed får en skræddersyet og pragmatisk implementering af standarden, hvadenten det er med henblik på at få en bedre styring af området eller det er med henblik på certificering.

Modenhedsvurdering

Få en overordnet vurdering af, hvad det vil kræve i jeres organisation at blive ISO 27001 compliant. Denne vurdering viser, hvilke konkrete områder I skal arbejde videre på for at få et optimalt udbytte af standarden.

Implementering af ISO 27001

Bliv compliant med ISO 27001, eller opnå certificering gennem et forløb, hvor vi assisterer med implementeringen af de væsentlige processer for informationssikkerhed samt etablerer et passende ledelsessystem for informationssikkerhed (ISMS).

ISO 27001 certificering

PwC kan bidrage til certificeringsprocessen såvel som foretage både præ-audit (stage 1 audit) og certificerings audit (stage 2 audit), der er nødvendige ift. certificering. Internationalt er PwC akkrediteret til at foretage selve certificeringen.