Företag har krav på sig från sina kunder, myndigheter och ägare att skydda sina informationstillgångar på ett mer strukturerat sätt från cyberhot. Allt oftare står det i media om bolag som inte lyckats skydda sin data. För att hantera situationen på ett mer strukturerat sätt rekommenderar jag ofta våra kunder att arbeta med ledningssystem, där standarden ISO 27001 är den mest välkända standarden.
Bland de viktigaste motiven att arbeta strukturerat med cybersäkerhet och ISO 27001 för att skydda sina informationstillgångar återfinns:
Det är betydligt enklare att förklara hur organisationens tillgångar skyddas genom att hänvisa till en etablerad erkänd standard som ISO 27001.
Oväntade utgifter och tappade kunder är inte kul. ISO 27001 ställer krav på att risknivån ska vara rimlig i förhållande till konsekvenserna. Genom att ha ISO 27001 som styr säkerhetsnivån utifrån din egen bedömning av cyberriskerna får du din anpassade informationssäkerhet.
För chefer som sätter mål till personal och leverantörer som ansvarar för säkerheten kommer säkerhetskontrollerna diskuteras, utvecklas och därmed bli ständigt bättre när alla förstår varandra. Detta blir till ett resultat hos grupper som har ett gemensamt språk som ges av standarden ISO 27001.
Länge har myndigheter reglerat områden inom kommunikation, vård, bank, försäkring och många fler med specifika informationssäkerhetskrav. Branschorganisationer som PCI för kortföretagen har länge haft tvingande informationssäkerhetskrav. Sedan 2018 när alla organisationer i Europa fick på sig att följa GDPR har informationssäkerhet fått stort fokus.
Kort sagt så kan en standard som ISO 27001 vara ett bra verktyg för att den tekniska och administrativa cybersäkerheten ska leva upp till lagkrav och bäst praxis i branschen. Livet blir helt enkelt lite enklare.
Max Korkkinen är seniorkonsult inom säkerhet på Knowit och har mer än 30 års erfarenhet som revisor av IT-organisationer. Max tog civilingenjörsexamen 1981 och har därefter kompletterat sin examen med en MBA samt certifieringar inom Informationssäkerhetsrevision, ISO 27001 Lead Auditor, IT-säkerhet, CISSP, och säkerhet för kortdata, QSA. Idag är han engagerad med utbildningar och granskningar för att visa överensstämmelse med lagar, avtal och standarder inom området informationssäkerhet (GDPR, ISO 27001 och PCI DSS).