Informasjonssikkerhet og GDPR
Informasjonssikkerhet handler om å bevare informasjonens konfidensialitet, integritet og tilgjengelighet. Med andre ord, sikre at den informasjonen man besitter ikke er mulig å få tak i for uvedkommende – på samme tid gjøre den tilgjengelig for de som skal ha tilgang.
Tre viktige begreper innen informasjonssikkerhet:
- Konfidensialitet: Informasjon som ikke-uautoriserte personer, enheter eller prosesser får tilgang til
- Integritet: Informasjon skal være korrekt og komplett
- Tilgjengelighet: Informasjon skal være tilgjengelig og anvendelig når den autoriserte ber om det
GDPR integrert i system for styring
Med GDPR kom det nye retningslinjer innenfor informasjonssikkerhet og personvern. I 4human QM365s systemer finner du funksjoner som kan ivareta kravene fra GDPR og ISO 27001 – standarden som går på informasjonssikkerhet.
Blant annet er dette løst ved at du blant annet kan kjøre risikovurderinger på informasjonssikkerhet. I tillegg foreligger krav om at du skal kunne saksbehandle avvik som går på informasjonssikkerhet. Dette er integrert i 4human QM365s systemer.
I systemet registrerer du alle aktiva – ressurser – og behandler disse i henhold til krav om lagring og sletting av data.
Tilgjengelighet av denne funksjonaliteten gjør det enkelt for din virksomhet å følge lover og retningslinjer. Les mer om GDPR Management.
Sertifisering innenfor informasjonssikkerhet
For å bevise at man har kontroll på informasjonen man forvalter er en tredjepartssertifisering det aller enkleste. ISO 27001 gir en god struktur på hvordan vi en bygge opp og kontinuerlig forbedre sin informasjonssikkerhet. Et informasjonssikkerhetssystem består av en rekke policyer, prosedyrer, retningslinjer, ressurser og aktiviteter og er en systematisk metodikk for å etablere, implementere, operere, overvåke, gjennomgå, vedlikeholde og forbedre informasjonssikkerheten slik at forretningsmålene kan oppnås.
Sentrale elementer
I ISO 27001 finner vi begrepet Aktiva. I Aktiva inngår både all type informasjon og informasjonsbærerne. Kort fortalt – det som har verdi for virksomheten. Disse må kartlegges grundig. Helt sentralt i ISO 27001 finner vi risikoarbeidet. Det er en krevende øvelse da man må se på hvilke trusler og sårbarheter som relaterer til alle ulike aktiva og hvilke risikoaspekter som kan oppstå. Hver av disse må vurderes og det må hele veien bli dokumentert hvordan virksomheten møter de ulike risikoene gjennom konkrete tiltak.
I ISO 27001 (Appendix A) ligger det en lang rekke sikringstiltak som skal vurderes utført som løsning, deriblant annet på risikoene. Denne listen på 114 tiltak er ikke komplett og det forventes at man skal se etter andre mulige sikringstiltak i tillegg. Dersom man ikke har implementert noen av de 114 tiltakene skal det også dokumenteres. Etter at sikringstiltak er gjort skal en også vurdere restrisiko.
Bevis ditt fokus!
Informasjonssikkerhet blir bare mer og mer viktig. Det er informasjonen man forvalter som er fundamentet for en virksomhet. Å bevise for kunder, leverandører og offentlige myndigheter at man har kontroll på sin informasjonssikkerhet kan være krevende om man ikke har et sertifikat som beviser at man har kontroll på området og har fokus på å bli bedre innen dette.
Lære mer om ISO 27001?
Er dere interessert i ISO 27001, ta kontakt med 4human QM365 i dag. Vi ser gjerne på ISO 27001 sammen med deg, og gjerne i kombinasjon med andre standarder i styringssystemer – som ISO 9001 (kvalitet). Våre systemer håndterer det som trengs og vårt implementeringsløp sikrer sertifisering.