Annonce
Annonce

Offentlig digitalisering: Styrk forretningen med ISO 27001

Foto: Anders Linde, chefkonsulent hos Dansk Standard
Læs mere
Fold sammen

ISO 27001 er ikke alene en nøgle til håndtering af informationssikkerhed. Det er et redskab, som understøtter forretningsudvikling, effektivisering og innovation

Denne artikel er en del af annoncetillæget 'Offentlig Digitalisering'. Se alle artikler her

Af Mathilde Forstholm

Med den nye fællesoffentlige digitaliseringsstrategi har hele den offentlige sektor fået fokus på at dokumentere processer, tænke i informationssikkerhed og lave risikovurderinger efter ledelsesstandarden ISO 27001. Ifølge Dansk Standard, som løbende har indsamlet data på organisationers arbejde med standarden, vokser gevinsten i takt med, at ledelsen får værktøjet ind under huden. Og det handler ikke kun om beskyttelse af informationer:

”Vores analyse viser, at størstedelen af organisationerne, der har implementeret ISO 27001, oplever en effektivisering af arbejdsprocesser inden for 2-3 år. Og det er netop en af standardens styrker,” fortæller chefkonsulent hos Dansk Standard, Anders Linde.

Effektiv risikostyring
Som andre ledelsesstandarder er ISO 27001 baseret på risikostyring. Det indebærer, at myndighederne indledningsvis skal se på mål for forretningen, kerneydelsen og processerne. Analysen er med til at afdække, hvilke informationer der er vigtige at beskytte. Når det er kortlagt, begynder selve arbejdet med risikostyring: Hvilke trusler kan vi forvente? Er vi sårbare over for nogle af truslerne? Hvad kan der ske? Hvad er sandsynligheden for, at det sker? Og hvad vil konsekvenserne da være?

Når Anders Linde peger på ISO 27001 som et værktøj til forretningsudvikling, handler det derfor om, at standarden sikrer, at myndigheder og virksomheder rustes til at forfølge nye digitale muligheder på et oplyst grundlag.

”Vi kan ikke bringe risici ned til 0, men med ISO 27001 kan myndigheder klarlægge risikobilledet og ud fra deres risikovillighed lægge en passende linje for forretningen. Ønsker kommuner f.eks. at tage et nyt it-system i brug på skoleområdet, så er arbejdet med risici helt afgørende for at vurdere den forretningsmæssige gevinst – i lyset af de nye trusler, som måtte opstå,” siger Anders Linde.

Står en kommune over for valget mellem flere leverandører til en simpel app i f.eks. hjemmeplejen, kan ISO 27001 sætte en ramme for sikkerhedskrav til leverandører, herunder en fast godkendelsesproces for alle it-anskaffelser. Konkret kan det indebære afklaring af, om app’en indsamler persondata, om den lever op til krav om persondatasikkerhed eller om leverandørerne kan honorere kommunens krav til forretningsrobusthed mv.

Anders Linde

»Kernen i risikovurdering er en costbenefit-betragtning.«


Optimal cost-benefit
Med ISO 27001 arbejder man løbende med en proces for risikostyring, som sikrer, at man rettidigt får vurderet organisationens sårbarhed i forhold til nye trusler. Netop heri ligger også effektiviseringsgevinsten.
”Kernen i risikovurdering er en costbenefit-betragtning. Vi ser bl.a., at nogle virksomheder bruger ressourcer på at sikre områder, som måske slet ikke bør prioriteres. Den indledende udpegning af kritiske og følsomme informationer, som vi foretager risikovurderinger på basis af, giver os et overblik over, hvor vores kroner og ører er bedst givet ud, når sikkerhedsforanstaltningerne skal etableres,” forklarer Anders Linde.

Hvis vi skal lykkes med at nytænke forretningen, er sikkerhedsforanstaltningerne også nødt til at følge med, tilføjer Anders Linde. Hvad nytter det f.eks. at fokusere på etablering af digitale borgerløsninger, hvis vi ikke samtidig sikrer ressourcer til at tackle det nye risikobillede, f.eks. ved at begrænse hackeres mulighed for at lægge systemet ned.

”Det er en forudsætning for innovation, at vi tager sikkerhedsbrillerne på og tager stilling til, hvad vi eksponerer vores forretning for i takt med, at vi digitaliserer flere services.”

 

Denne artikel er en del af annoncetillæget 'Offentlig Digitalisering'. Se alle artikler her