Trots hastigheten och de växande kommersiella effekterna av säkerhetsöverträdelser kontrollerar de flesta institutioner fortfarande digital säkerhet på ett sätt som är utformat för att möta gårdagens attacker genom att använda betungande restriktioner som hindrar innovation.

Tillägg

ISO 27001 sätter upp ett ramverk för att skydda organisationens värdefulla information – inklusive personuppgifter – på ett säkert och trovärdigt sätt. Standarden definierar kraven för ett system för hantering av informationssäkerhet (ISMS) som syftar till att skydda mot bland annat radering, läckage eller förlust av tillgång till uppgifter. Samtidigt säkerställer det att företag upprätthåller pågående säkerhetsarbete, där riskbedömning och hantering av händelser skapar ett modernt skydd av information. Det är i linje med GDPR:s lagtext, som bland annat uppmanar organisationer att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som motsvarar risken. Nedan listas 5 områden där ISO 27001 direkt uppfyller GDPR-kraven:

Första dokumentationen

Övergången till GDPR innebär att företag nu måste kunna dokumentera sin efterlevnad av lagen. Detta är också en förutsättning för att kraven i ISO 27001 ska uppfyllas – om det inte kan dokumenteras anses kraven inte vara uppfyllda. Ergo: Det ska finnas en översikt över personuppgifter, en rapport om riskbedömning, en logg över händelser etc.

2:a översikten över personuppgifter

En översikt över företagets kritiska och känsliga data finns i ISO 27001 nyckeln till att utse relevanta säkerhetsåtgärder. Detta är också ett krav på personuppgifter i GDPR för att kunna kontrollera var, hur och hur länge data lagras, vem som kan komma åt dem etc.

Tredje riskbedömningen

GDPR kräver att företag gör riskbedömningar för att identifiera risker för att äventyra EU-medborgarnas personuppgifter. Detta gäller även implementering av nya system eller upprättande av nya affärsprocesser. På samma sätt kräver ISO 27001 att företag upprättar en relevant säkerhetsrespons genom riskhantering, dvs. bedöma sannolikheten för olika händelser och identifiera motsvarande konsekvens för de registrerades uppgifter.

Fjärde rasterna

GDPR kräver att företag informerar myndigheterna inom 72 timmar efter en eventuell datapaus. Det kan också omfatta anmälan till de registrerade. På samma sätt ställer ISO 27001 krav för hanteringsavvikelse och föreslår händelsehanteringsprocesser.

5th Utvärdering och pågående förbättringar

Det är ett underliggande prejudikat för efterlevnad av GDPR, att organisationer etablerar vissa arbetsflöden som säkerställer fortsatt skydd av personuppgifter, oavsett hotbild, nya behandlingar eller förändringar i affärsprocesser. Här tillhandahåller ISO 27001 en verktygslåda med aktiviteter som säkerställer adekvat skydd av information även när sammanhanget ändras. Utvärdering av säkerhetskontroller, internrevisioner och utvärdering av förvaltningen är nyckelkomponenter för att upprätthålla och kontinuerligt förbättra dataskyddet.

Värde

Företag kan upprätta de strängaste försvarsmekanismerna mot viktiga informationstillgångar. Vi hjälper kunderna att bestämma vad de ska skydda och hur mycket de behöver genom en kombination av ISO27000 som hjälper företag att prioritera sina affärsrisker och tillgångar samt strategier och taktiska planer som justerar företagets riskkapacitet.