På trods af hastigheden og de voksende kommercielle konsekvenser af sikkerhedsbrud kontrollerer de fleste institutioner stadig den digitale sikkerhed på en måde, der er designet til at imødekomme gårsdagens angreb ved at bruge besværlige restriktioner, der hindrer innovation.
Tilføjelser
ISO 27001 etablerer en ramme for at beskytte organisationens værdifulde oplysninger – herunder personoplysninger – på en sikker og troværdig måde. Standarden definerer kravene til et informationssikkerhedsstyringssystem (ISMS), der har til formål at beskytte mod bl.a. sletning, lækage eller tab af adgang til data. Samtidig sikrer det, at virksomhederne opretholder en løbende sikkerhedsindsats, hvor risikovurdering og håndtering af arrangementer skaber en nutidig informationsbeskyttelse. Det er i overensstemmelse med GDPR-lovteksten, som bl.a. opfordrer organisationer til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til risikoen. Nedenfor er listet 5 områder, hvor ISO 27001 direkte opfylder GDPR-kravene:
Første dokumentation
Overgangen til GDPR betyder, at virksomheder nu skal kunne dokumentere deres overholdelse af loven. Dette er også en forudsætning for overholdelse af kravene i ISO 27001 – hvis det ikke kan dokumenteres, anses kravene ikke for at være opfyldt. Ergo: Der skal være overblik over personoplysninger, en rapport om risikovurdering, en log over hændelser mv.
2. Oversigt over personoplysninger
En oversigt over virksomhedens kritiske og følsomme data er i ISO 27001 nøglen til at udpege relevante sikkerhedsforanstaltninger. Dette er også et krav til personoplysninger i GDPR for at kontrollere, hvor, hvordan og hvor længe data opbevares, hvem der kan få adgang til dem osv.
Tredje risikovurdering
GDPR kræver, at virksomheder foretager risikovurderinger for at identificere risici for at kompromittere EU-borgernes personoplysninger. Dette gælder også for implementering af nye systemer eller etablering af nye forretningsprocesser. På samme måde kræver ISO 27001, at virksomhederne etablerer et relevant sikkerhedsrespons gennem risikostyring, dvs. vurdere sandsynligheden for forskellige hændelser og identificere den tilsvarende konsekvens for de registreredes data.
4. Pauser
GDPR kræver, at virksomheder informerer myndighederne inden for 72 timer efter en mulig datapause. Det kan også omfatte underretning til de registrerede. På samme måde stiller ISO 27001 krav til håndtering af afvigelser og foreslår hændelseshåndteringsprocesser.
5. Evaluering og løbende forbedringer
Det er en underliggende præcedens for overholdelse af GDPR, at organisationer etablerer nogle arbejdsgange, der sikrer fortsat beskyttelse af personoplysninger, uanset trusselsbilledet, nye behandlinger eller ændringer i forretningsprocesser. Her indeholder ISO 27001 en værktøjskasse med aktiviteter, der sikrer tilstrækkelig beskyttelse af information, selv når konteksten ændres. Evaluering af sikkerhedskontroller, interne revisioner og ledelsesevaluering er nøglekomponenter til opretholdelse og løbende forbedring af databeskyttelsen.
Værdi
Virksomheder er i stand til at etablere de strengeste forsvarsmekanismer mod centrale informationsaktiver. Vi hjælper kunderne med at beslutte, hvad de skal beskytte, og hvor meget de har brug for gennem en kombination af ISO27000, der hjælper virksomheder med at prioritere deres forretningsrisici og aktiver samt strategier og taktiske planer, der justerer virksomhedens risikokapacitet.