Annonce
Annonce

ISO27001 på vej mod nyt boost

billede

Den nye person-dataforordning fra EU skaber fornyet interesse for den internationale standard for virksomheders informations­sikkerhed.

Branchekendere forudser en stigende interesse for den internationale best practice-standard på sikkerhedsområdet, ISO27001, som følge af vedtagelsen af EU-persondataforordningen.

Forventer flere certificeringer
”EU-persondataforordningen fremmer brugen af standarder som en måde at demonstrere, at man som virksomhed har taget de nødvendige forholdsregler og dermed forbedret sin informationssikkerhed og evne til at modstå potentielle databrud. ISO27001 er guldstandarden inden for informationssikkerhed,” lyder det fra Alan Calder, der er stifter og bestyrelsesformand i den britiske virksomhed IT Governance, der beskæftiger sig med governance, sikkerhed og compliance inden for IT-sikkerhed. Han forudser en nærmest eksplosivt voksende interesse for ISO27001.

Alan Calder peger på, at særligt EU-persondataforordningens strenge bødekrav vil skærpe topledelsens interesse for at anvende ISO27001 som løftestang til at få styr på datasikkerhed. Noget som det ellers hidtil har knebet lidt med.
”Det er meget muligt, at ledelserne rundt omkring fortsætter med at begrave deres hoveder i det digitale sand, men det betyder blot, at lovgiverne pålægger meget afskrækkende bødestørrelser for at skabe større interesse for globale sikkerhedsstandarder.”
Alan Calder forudser ligefrem, at antallet af globale ISO27001-certificeringer i løbet af de næste få år vil overstige antallet af ISO9001-kvalitetssikringscertificeringer. Ifølge de seneste tal fra ISO fra 2014 var der over 1,1 millioner ISO9001-certificerede og blot 23.972 ISO27001-certificerede, så der vil i givet fald være tale om en eksplosiv stigning, hvis Alan Calders forudsigelser holder stik.

Danske virksomheder inspireres
Det er dog ikke altafgørende, om man er certificeret inden for ISO27001. Standarden kan under alle omstændigheder fungere som inspirationskilde, når danske virksomheders informationssikkerhed skal tilpasses EU-forordningen. I Danmark er det eksempelvis et krav, at statslige myndigheder skal efterleve principperne i ISO27001, men det er stadig et forsvindende lille antal virksomheder, der er  ISO27001-certificerede. Ifølge ISO-opgørelsen fra 2014 var der blot 14 danske ISO27001-certificerede virksom­heder.
”Der er ikke ret mange, der er ISO27001-certificerede, men der er mange, som baserer deres sikkerhedsprogram på ISO27001. De følger måske ikke ISO27001 til punkt og prikke, men de har ladet sig inspirere af de væsentligste komponenter,” oplyser Lars Neupart, sikkerhedsdirektør hos KMD. Han betegner ISO27001 som et stærkt fundament for implementering af EU-persondataforordningen.
Alan Calder ser inspiration og tilpasning til ISO27001-principperne som et vigtigt skridt, men mener dog, at en egentlig certificering er den bedste vej at følge.
”Selvom tilpasning til ISO27001 er et vigtigt skridt, så er certificeringsprocessen via den eksterne uafhængige audit den eneste måde at sikre, at kontroller og tiltag er implementeret korrekt og er i stand til effektivt at reducere datarisici.”

Proces forankret i topledelse
Centralt i ISO27001 er etableringen af et Information Security Management System (ISMS), der skal beskytte en virksomheds digitale aktiver. Selve systemet er vigtigt, men Alan Calder peger også på en vigtig sidegevinst ved indførelsen af et ISMS.
”Det, der gør et ISO 27001-tilpasset ISMS så effektivt er, at det kræver opbakning fra organisationens topledelsen, og at det skal forankres i hele organisationen. Det skaber en stærk kultur og bevidsthed om informationssikkerhed,” siger Alan Calder.
Hvad enten man vælger den fulde ­certificering eller blot lader sig inspirere,
så vil interessen for ISO-standarden inden for informationssikkerhed stige i de kommende år.