Til tross for hastigheten og den økende kommersielle effekten av sikkerhetsbrudd, kontrollerer de fleste institusjoner fortsatt digital sikkerhet på en måte som er utformet for å møte gårsdagens angrep ved å bruke tyngende restriksjoner som hindrer innovasjon.
Tillegg
ISO 27001 setter opp et rammeverk for å beskytte organisasjonens verdifulle informasjon – inkludert personopplysninger – på en trygg og troverdig måte. Standarden definerer kravene til et ISMS (Information Security Management System) som tar sikte på å beskytte mot blant annet sletting, lekkasje eller tap av tilgang til data. Samtidig sikrer det at selskapene opprettholder løpende sikkerhetsarbeid, der risikovurdering og håndtering av hendelser skaper en moderne beskyttelse av informasjon. Det er i tråd med GDPR lovgivende tekst, som blant annet krever at organisasjoner iverksetter passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som tilsvarer risikoen. Nedenfor er listet opp 5 områder der ISO 27001 direkte oppfyller GDPR-kravene:
Første dokumentasjon
Overgangen til GDPR betyr at selskaper nå må kunne dokumentere at de overholder loven. Dette er også en forutsetning for å overholde kravene i ISO 27001 – hvis det ikke kan dokumenteres, anses kravene ikke å være oppfylt. Ergo: Det må være oversikt over personopplysninger, rapport om risikovurdering, hendelseslogg mv.
2. Oversikt over personopplysninger
En oversikt over selskapets kritiske og sensitive data er i ISO 27001 nøkkelen til å utpeke relevante sikkerhetstiltak. Dette er også et krav for personopplysninger i GDPR for å kunne kontrollere hvor, hvordan og hvor lenge data lagres, hvem som har tilgang til dem osv.
Tredje risikovurdering
GDPR krever at selskaper gjennomfører risikovurderinger for å identifisere risiko for å kompromittere personopplysningene til EU-borgere. Dette gjelder også implementering av nye systemer eller etablering av nye forretningsprosesser. På samme måte krever ISO 27001 at selskaper etablerer en relevant sikkerhetsrespons gjennom risikostyring, dvs. vurdere sannsynligheten for ulike hendelser og identifisere tilsvarende konsekvens for de registrertes data.
4. pauser
GDPR krever at selskaper informerer myndighetene innen 72 timer etter en mulig datapause. Det kan også omfatte varsling til de registrerte. På samme måte stiller ISO 27001 krav til håndtering av avvik og foreslår prosesser for hendelseshåndtering.
5. evaluering og løpende forbedringer
Det er en underliggende presedens for overholdelse av GDPR, at organisasjoner etablerer noen arbeidsflyter som sikrer fortsatt beskyttelse av personopplysninger, uavhengig av trusselbildet, nye behandlinger eller endringer i forretningsprosesser. Her gir ISO 27001 en verktøykasse med aktiviteter som sikrer tilstrekkelig beskyttelse av informasjon selv når konteksten endres. Evaluering av sikkerhetskontroller, interne revisjoner og administrasjonsevaluering er viktige komponenter for å opprettholde og kontinuerlig forbedre databeskyttelsen.
Verdi
Foretakene er i stand til å etablere de strengeste forsvarsmekanismene mot sentrale informasjonsmidler. Vi hjelper kunder med å bestemme hva de skal beskytte og hvor mye de trenger gjennom en kombinasjon av ISO27000 som hjelper selskaper med å prioritere forretningsrisiko og eiendeler, samt strategier og taktiske planer som justerer selskapets risikoegenskaper.