Når er du klar for ISO 27001-sertifisering? En Sjekkliste
Mange virksomheter har etablerte systemer for å håndtere risiko knyttet til helse, miljø, sikkerhet, kvalitet og miljøpåvirkning. I takt med den digitale utviklingen vokser nye risikoområder frem – der informasjonssikkerhet blir stadig viktigere å adressere. Å bli sertifisert etter ISO 27001 er en viktig milepæl – men hvordan vet du om du er klar?
Her er noen praktiske steg du kan ta, for å vurdere om bedriften din er godt forberedt:
Steg 1: Har vår bedrift risikoer innen informasjonssikkerhet?
De fleste virksomheter har ulike system for HMS, kvalitet og ytre miljø. Informasjonssikkerhet er et område som blir stadig viktigere, og løftes opp på ledernivå.
Still deg disse spørsmålene:
- Er informasjonssikkerhet en del av risikovurderingen?
- Hva skjer hvis data kommer på avveie, eller systemer blir utilgjengelige?
- Er vi underlagt nye krav, som NIS2 eller den nye Digitalsikkerhetsloven?
Er svaret ja – start med å beskrive dagens situasjon og behov. En god businesscase hjelper dere med å prioritere og motivere.
Steg 2: Hvor moden er bedriften? Har dere tatt grep for å sikre informasjonen til selskapet?
Har dere en policy, opplæring og rutiner for å identifisere og håndtere svakheter? Hvis ja – da er dere på god vei! Hvis ikke, er det på tide å få oversikt– for eksempel over styrker og svakheter i IT-sikkerheten og hvilke digitale trusler virksomheten står overfor.
Nasjonal sikkerhetsmyndighet (NSM) har utviklet en tjeneste hvor norske virksomheter kan sjekke egen digital sikkerhetstilstand. Denne finner du her.
Steg 3: Er dere usikre på hvor dere skal starte?
Å redusere risikoer kan virke overveldende. Heldigvis finnes det hjelp. ISO 27001 er en internasjonal standard som gir en strukturert tilnærming til informasjonssikkerhet, og hvordan man bygger et ISMS til bedriften. Information Security Management System, altså ledelsessystemet for informasjonssikkerheten.
Standarden beskriver beste praksis og kan kjøpes via Standard Norge. Denne brukes som rammeverk for å bygge et system som dekker vesentlige risikoer – også for dem som omfattes av regulatoriske krav.
ISO 27001 er selve standarden, mens ISMS er systemet man bygger for å oppfylle kravene i standarden. ISO er altså målet – ISMS er verktøyet.
Steg 4: Trenger dere hjelp til å få system og tiltak på plass?
ISO 27001 krever ikke ekstern hjelp, men mange bedrifter mangler tid eller kompetanse. Det kan være nyttig med bistand i en periode – for eksempel fra Kiwa Kompetanse, som tilbyr kurs og konsulenthjelp. En GAP-analyse kan også være nyttig for å se hva som mangler i forhold til kravene i ISO 27001.
Steg 5: Trenger dere bistand til å vise hva som er gjennomført?
Flere bedrifter ber om dokumentasjon på hvordan de skal håndtere informasjonssikkerhet. En ISO 27001-sertifisering viser at dere følger beste praksis. Sertifikatet utstedes av en akkreditert tredjepart og er gyldig i tre år, med årlige revisjoner. Kiwa AS er et slikt sertifiseringsorgan, og revisjonslederne gir både en pekepinn på vesentlige forbedringsområder og reviderer at kravene i standarden er oppfylt.
Steg 6: Hvordan kan vi benytte en sertifisering i henhold til ISO 27001?
Sertifiseringen viser at dere har tatt grep og jobber systematisk med risiko. Det gir tillit hos kunder og samarbeidspartnere, og ansatte får tydelige rutiner. Det kan også gi et konkurransefortrinn og gjøre det enklere å møte nye krav fra markedet.
Et godt system for informasjonssikkerhet gjør bedriften mer robust og reduserer sannsynligheten for uønskede hendelser.
Er du usikker på hvor du står, eller ønsker du å diskutere veien videre? Ta kontakt med oss eller book et møte via vårt bookingskjema.