Informasjonssikkerheten i organisasjonen din bør sikres med utgangspunkt i ISO 27001/2. Les videre og sett deg inn i hvordan standarden kan hjelpe deg.
ISO 27001: Bestepraksis for å ivareta informasjonssikkerheten

ISO 27001: Bestepraksis for å ivareta informasjonssikkerheten

Time Reading
4 minutters lesing

Informasjonssikkerhet blir stadig viktigere for moderne organisasjoner. Historier om sikkerhetsbrudd og cyberangrep i store organisasjoner og offentlige institusjoner skaper jevnlig overskrifter. Et feilklikk, en glemt datamaskin eller manglende overholdelse av GDPR. Selv om de aller fleste organisasjoner har sikkerhetssystemer som skal forebygge risiko, er det ikke alle som har tilstrekkelig sikkerhetskompetanse.

Det er opp til ledelsen å sørge for informasjonssikkerheten, og vi har samlet en rekke beste fremgangsmåter for deg som ønsker å ta temperaturen på organisasjonens informasjonssikkerhetsarbeid.

Ta utgangspunkt i ISO 27001

Det finnes en rekke standarder som kan bidra til å sikre informasjonssikkerheten i en organisasjon, og den vanligste er ISO 27001.

Standarden stiller høye krav til styringssystemet for informasjonssikkerhet, som har en systematisk tilnærming til håndtering av forretningsinformasjon for å sikre at dataene forblir sikre.

ISO 27001 kan implementeres i både små og store organisasjoner i alle bransjer, og det finnes en rekke bestepraksiser å følge. Men før du kommer så langt, bør organisasjonen ta en grundig gjennomgang av hvilken verdifull informasjon den har og hvordan den er lagret - en omfattende kartlegging av det nåværende arbeidet med informasjonssikkerhet er avgjørende for å lykkes med standarden.

Når kartleggingen er på plass, er det lurt å ha følgende i bakhodet:

1) Få støtte av ledelsen

Informasjonssikkerhet kan ikke implementeres eller opprettholdes uten støtte fra ledelsen. Det er et prosjekt som starter på toppen og jobber seg nedover.

Ledelsens engasjement må sikre at det finnes tilstrekkelige ressurser til å implementere, administrere, utvikle og vedlikeholde informasjonssikkerheten.

2) Risikovurderinger som utgangspunkt

Uavhengig av hvilken del av informasjonssikkerheten som skal ivaretas, er det viktig at det alltid tas utgangspunkt i en risikobasert tilnærming. Sårbarheter og trusler må identifiseres slik at det kan gjøres risikovurderinger i forhold til organisasjonens risikoappetitt.

Målet er å få et helhetlig bilde av risikoene organisasjonen står overfor, slik at ressursene kan prioriteres og, viktigst av alt, de identifiserte risikoene kan reduseres.

LES OGSÅ: Mer om hva risikostyring er, og hvorfor det er viktig

3) Utarbeidelse av SOA

Standarden krever at det utarbeides en SOA, Service Oriented Architecture eller Tjenesteorientert arkitektur, som dokumenterer kontrollomfanget for hvert enkelt element.

Med SOA-programvare sikrer du at organisasjonen dekker alle relevante punkter og, viktigst av alt, at arbeidet og beslutningene dokumenteres korrekt.

4) Opplæring av ansatte

Informasjonssikkerheten avhenger av de ansatte, og derfor bør det jevnlig gjennomføres opplæring innenfor cybersikkerhet for alle medarbeidere.

Det finnes ingen teknologi som kan beskytte informasjon mot menneskelige feil - for eksempel å klikke på feil lenke - så de ansattes atferd må derfor tas på alvor som en mulig sikkerhetstrussel.

5) Regelmessig gjennomgang og oppdatering

For at informasjonssikkerhetssystemet skal være effektivt, bør det gjennomgås av ledelsen med jevne mellomrom som en del av internrevisjonen.

Resultatene av revisjonen og den regelmessige gjennomgangen dokumenteres og oppbevares, og eventuelle anbefalinger implementeres.

Hvorfor bruke ISO 27001?

Implementering av ISO 27001 kan virke som en omfattende prosess, men det er mange fordeler med å implementere standarden.

Først og fremst fungerer ISO 27001 som en systematisk tilnærming til styring av informasjonssikkerhet. Det er et styringsverktøy som hjelper organisasjoner med å beskytte verdifull informasjon - inkludert personopplysninger - på en sikker og pålitelig måte.

I tillegg gjør ISO 27001 det mulig å unngå kostbare bøter og økonomiske tap knyttet til utilsiktede feil eller angrep på informasjonssikkerheten.

Logo