Jo tættere virksomheder arbejder sammen, desto mere afhængige bliver de af hinanden, og det stiller krav, der rækker langt ud over et godt samarbejde og en fornuftig kontrakt. I dag er det ikke nok at gøre tingene rigtigt. Du skal også kunne bevise det.
Det betyder, at begreber som ISO 27001, risikovurdering, afvigelsesdokumentation og IT-sikkerhedspolitikker i stigende grad dukker op i salgspitches, i ledergrupper og i kravspecifikationer fra både kunder og leverandører. Ikke fordi nogen vil gøre livet sværere for hinanden, men fordi samhandlen (eksempelvis via API & EDI) kræver et dokumenteret grundlag for tillid. Og det grundlag skal kunne stå til regnskab, når kunden eller leverandøren spørger: Kan I garantere, at vores data er i sikre hænder?
ISO 27001-certificeringen er markedets svar på det spørgsmål. Det er en internationalt anerkendt standard, der dokumenterer, at din virksomhed har styr på sin informationssikkerhed – ikke bare i teorien, men i praksis. Og for mange virksomheder er det i dag ikke et spørgsmål om, hvorvidt de skal certificeres, men hvornår.
I dag er det ikke nok at gøre tingene rigtigt. Du skal også kunne bevise det.
Hvorfor vokser kravene til din IT-sikkerhed lige nu?
Digitaliseringen har gjort virksomheder tættere forbundne end nogensinde. Systemer taler sammen via API’er, data flyder på tværs af organisationer, og leverandørkæder strækker sig over landegrænser. Det skaber effektivitet, men det udvider også angrebsfladen. Et sikkerhedsbrud ét sted kan ramme mange. Derfor stiller store virksomheder og offentlige institutioner i stigende grad krav om dokumenteret sikkerhed hos deres partnere og leverandører; og de krav siver nedad i værdikæden.
Det er ikke bureaukrati for bureaukratiets skyld. Det er en naturlig konsekvens af, at tillid i forretningsrelationer i dag skal kunne dokumenteres.
Processen – Hvad indebærer en ISO 27001-certificering i praksis?
Det er her, mange virksomheder går i stå. Ikke fordi opgaven er umulig, men fordi den hurtigt føles uoverskuelig, når man ser på kravene udefra. ISO 27001 er ikke en tjekliste, du kan hægte af på en eftermiddag. Det er et struktureret arbejde på tværs af jeres organisation; og det kræver, at I kan dokumentere jeres processer, identificere risici og håndtere afvigelser systematisk.
I praksis ser certificeringsprocessen typisk sådan ud:
-
1. Scoping og kontekst
Første skridt er at definere, hvad certificeringen skal dække. Hvilke systemer, processer og data er inden for scope? Det lyder simpelt, men det er afgørende at få afgrænset rigtigt fra start – både for at holde projektet håndterbart og for at sikre, at certificeringen faktisk dækker det, jeres kunder og partnere forventer. -
2. Gap-analyse
Inden man kan bygge noget, skal man vide, hvor man står. En gap-analyse kortlægger forskellen mellem jeres nuværende sikkerhedsniveau og de krav, ISO 27001 stiller. Det giver et klart billede af, hvad der mangler – og hvad I allerede har styr på. -
3. Risikovurdering
ISO 27001 er risikobaseret, hvilket betyder, at I skal identificere, vurdere og prioritere de informationssikkerhedsrisici, der er relevante for jeres virksomhed. Det er ikke en akademisk øvelse – det er fundamentet for de politikker og kontroller, I efterfølgende implementerer. -
4. Politikker og kontroller
På baggrund af risikovurderingen udarbejdes de nødvendige IT- og sikkerhedspolitikker; alt fra adgangsstyring og kryptering til håndtering af sikkerhedshændelser og leverandørstyring. Her er det afgørende, at politikkerne er skrevet til jeres virkelighed – ikke kopieret fra en skabelon, der ikke passer til jeres organisation. -
5. Implementering og forankring
Politikker på papir er ikke nok. De skal implementeres, kommunikeres og forankres i organisationen. Det kræver, at relevante medarbejdere og ledere kender deres ansvar – og at der er processer på plads til at håndtere afvigelser, når de opstår. -
6. Intern audit
Inden den eksterne audit gennemføres en intern audit, der tester, om systemet fungerer som planlagt. Det er jeres mulighed for at finde og lukke huller, inden auditørerne ankommer. -
7. Ekstern audit og certificering
Den eksterne audit foregår i to trin: Først en dokumentationsgennemgang, derefter en egentlig systemaudit, hvor auditørerne vurderer, om jeres ISMS (Information Security Management System) lever op til standarden. Godkendes I, modtager I ISO 27001-certifikatet – gyldigt i tre år med årlige overvågningsaudits.
Arbejdet efter certificering
Certificeringen er ikke slutpunktet. Det er starten på et løbende arbejde.
ISO 27001 er bygget op omkring et princip om kontinuerlig forbedrin, og det afspejler sig i strukturen efter certificeringen. Certifikatet er gyldigt i tre år, men det forudsætter, at I gennemfører årlige overvågningsaudits, der dokumenterer, at jeres ISMS stadig fungerer og udvikler sig i takt med virksomheden. Ved udgangen af de tre år venter en fuld recertificeringsaudit.
Det betyder i praksis, at informationssikkerhed ikke kan behandles som et projekt, der afsluttes og arkiveres. Det skal leve i organisationen; i de processer, beslutninger og vaner, der udgør hverdagen.
Konkret indebærer det løbende arbejde typisk:
- Vedligeholdelse af politikker og kontroller
Virksomheder forandrer sig; systemer skiftes ud, nye leverandører tilkobles, medarbejdere kommer og går. Hver gang organisationen ændrer sig, skal I vurdere, om jeres politikker og kontroller stadig er dækkende og dokumentere det, hvis de justeres. - Løbende risikovurdering
Trusselsbilledet ændrer sig. Det, der var en acceptabel risiko for to år siden, er det måske ikke i dag. En struktureret og regelmæssig risikovurdering sikrer, at I ikke bare reagerer på hændelser, men aktivt forholder jer til dem, før de opstår. - Håndtering af afvigelser og sikkerhedshændelser
Når noget går galt – og det gør det på et tidspunkt – skal I have processer på plads til at registrere, analysere og lukke afvigelser. Det er ikke tegn på svaghed; det er netop det, ISO 27001 kræver, og det er det, der dokumenterer, at jeres system er levende og ikke bare et dokument i en skuffe. - Ledelsens gennemgang
ISO 27001 stiller krav om, at ledelsen løbende evaluerer ISMS’ets performance. Det er ikke kun en formsag. Det er en mekanisme, der sikrer, at informationssikkerhed forbliver en prioritet på ledelsesniveau og ikke glider ned i organisationen som “noget IT tager sig af.” - Intern audit
Minimum én gang om året skal I gennemføre en intern audit, der vurderer, om systemet fungerer efter hensigten. Det er jeres eget kvalitetstjek, og det er det, der forbereder jer til den eksterne overvågningsaudit.
Mange virksomheder oplever, at det løbende arbejde er mere udfordrende end selve certificeringsprocessen. Ikke fordi kravene er sværere, men fordi tempoet falder, opmærksomheden rykker sig og ansvaret for at holde liv i systemet bliver uklart, når projektet formelt er afsluttet.
Det er her, Sentiq kan blive en fast del af jeres setup: Som den partner, der sikrer kontinuitet; holder styr på deadlines, støtter ved interne audits og hjælper med at vedligeholde dokumentationen, så I er klar, når overvågningsauditørerne banker på døren igen.
Hvordan Sentiq arbejder med jer
Processen ovenfor er veldefineret – men den kræver erfaring at navigere i. Vi har gennemført adskillige ISO 27001-certificeringsprocesser på tværs af brancher og virksomhedsstørrelser, og vi ved, hvor det typisk kniber: I risikovurderingen, i forankringen hos ledelsen og i at få politikkerne til at hænge sammen med den hverdag, medarbejderne faktisk lever i.
Vores tilgang er at arbejde tæt sammen med jer; ikke ved siden af jer. Vi kortlægger kravene, producerer politikker i samarbejde med de rette personer i din organisation og sikrer, at hver stakeholder kender sit ansvar og sine leverancer. Det gør ISO 27001 til en konkret, styret proces frem for et projekt, der driver af sted uden en tydelig ejer.
Og vi sidder ved jeres side, når auditørerne ankommer, så I ikke står alene med de spørgsmål, der altid dukker op i de afgørende øjeblikke.
Vil du vide, hvordan processen konkret ser ud for en virksomhed som jeres? Så kontakt os og lad os tage en uforpligtende snak om både processen omkring og certificeringen af ISO27001.
