ISO 27001 certificering – uden anmærkninger
Implementering der giver mening for medarbejdere og ledere
ISO27001 er en af de mest kendte standarder indenfor it-sikkerhed. Hvis du stadig er i tvivl om vigtigheden af it-sikkerhed, så er her et par fakta fra Regeringens udspil “Et styrket dansk cyberforsvar” lanceret den 9. juni 2021.
- En tredjedel af store danske virksomheder har oplevet brud på it-sikkerheden (fx mistet adgang til it-services eller oplevet sletning/læk af fortrolige data)
- Halvdelen af alle danskere har oplevet brud på it-sikkerheden (fx phishing-mails, falske hjemmesider eller misbrug af kortoplysninger)
- Over 80 samfundsvigtige virksomheder og myndigheder (energi, sundhed mv.) var potentielt udsat for et større cyberangreb ved årsskiftet 2020/2021 (”Solarwinds”-angrebet)
Dokumentation af IT-sikkerhed er “License to operate”
Tør du baserere jeres it-sikkerhed på hensigter og “kan gøre”?
Ved at certificere jeres ledelsessystem for it-sikkerhed efter international anerkendt standard, og af uafhængig tredjepart, kan du dokumentere jeres it-sikkerhed og ledelsens arbejde med den, samt lukke gabet mellem ledelsens og teknikernes prioriteringer.
Vi hjælper jer sikkert på vej mod ISO 27001 certificering, så det hurtigt giver god effekt for jeres IT-og informationssikkerhed. Med baggrund i vores lange erfaring inden for området, vinkler vi også jeres arbejde med ISO 27001, så den giver jer meget stor generel værdi, fordi den gør jer i stand til hurtigt og effektivt at identificere nye vigtige og værdifulde tiltag inden for mange forskellige områder og ikke mindst få dem implementeret, så det virker.
Selve standarden er kun på 40 sider, men det er både komplekst og kompliceret at gøre indholdet til en værdiskabende del af dagligdagen. Derfor er der mange, der drukner organisationen med talløse værktøjer og beskrivelser, som ingen forstår eller bruger. Det Courant gør er, at vi holder det jordnært, så brugerne forstår og ser værdien i at følge det aftalte. Samtidig forankrer vi det i ledelsen, så det løbende bliver prioriteret og forbedret.
Her er et par highlights fra Courants opskrift til succesfuld implementering af ISO 27001:
- Vi starter med at etablere en mekanisme til at vurdere risici og værdien for jer. Risikoanalysen, samt en vurdering af risiko vs. konsekvens giver jer overblik, så organisationen kan løse issues fra den ende af, hvor det er vigtigst og giver mest værdi for jer her og nu. Således undgår I unødig bureaukrati eller at anskaffe et eventuelt værktøj/system inden der er overblik over det faktiske behov.
- Inspireret af ISO 27001 Appendix A – Statement of Applicability (SoA), som er det dokument der linker risk assessment til hvordan du vil implementere din informationssikkerhed, hjælper Courant herefter ledelsen med at få konkrete elementer implementeret i organisationen, og med at følge op på, at de virker som forventet ved at bygge en ISO 27001 detektor.
- Vi bygger løsningen med fokus på hvad der allerede findes og virker i dagligdagen – ikke på hvordan diverse systemer forventer det dokumenteret. Alt for meget dokumentation i auditsystemer læses aldrig af organisationen.
- I en GAP-analyse (pre-audit) udført sammen med det akkrediterede certificeringsorgan, tjekker vi, at I er klar til at få de skrappe drenge og piger fra Bureau Veritas eller DNV GL til at kigge implementeringen efter i alle hjørner og ultimativt udstede et certifikat.
- Endeligt – og dette er meget vigtigt – hjælper Courant med at etablere de nødvendige og tilstrækkelige management review tiltag, som sikrer, at revisionen/audit tilfredsstilles fremover. Implementeringsarbejdet skal hele tiden overvåges og forbedres, så det giver jer den ønskede værdi.
- Da cirka 70% af sikkerhedsbrud skyldes forkert menneskelig adfærd, arbejder vi løbende med kommunikation og awareness, men i endnu højere grad adfærd og kultur. Dette arbejde sikrer, at implementeringen passer til den organisation og de mennesker der skal anvende det i dagligdagen.
Det er billigere end du tror. Vi bruger 20-30 timer om måneden sammen med jer og så er I i mål på 6 til 12 måneder.
Husk hvis du af forskellige årsager ikke ønsker at blive certificeret, men bare have bedre informationssikkerhed (nye krav til cybersikkerhed i Staten i januar 2020) får du stadig glæden af processer der virker, og kan bringe jer meget værdi i dagligdagen.
Hvis du arbejder med persondata kan du sammen med ISO 27001 får certificeret dit arbejde med GDPR efter ISO 27701
Courant har bl.a. hjulpet med ISO 27001 certificering af Det Danske Tvillingregister som er et af verdens ældste tvillingregistre og rummer oplysninger (særlige følsomme persondata) om tvillinger født i Danmark gennem mere end 140 år.
SDU har netop overstået en ISO 27001 certificering af et udvalgt systemlandskab uden afvigelser. I den forbindelse har det været udslagsgivende med god rådgivning og her har Courants konsulent, Allan Salling, spillet en meget vigtig rolle.
Tim Kirketerp
Ring på 2054 3002 eller indtast mail eller telefonnr. og vi kontakter dig snarest.
BEMÆRK: Vores pragmatiske tilgang kan også give dig succes med implementering af andre compliance krav – eksempelvis NIS2, NIST Cybersecurity Framework eller CMMC (Cybersecurity Maturity Model Certification).