Informationssikkerhed

I relation til informationssikkerhed handler risikostyring om at lave en ramme på tværs af organisationen, som indeholder alle de aktiviteter, der er nødvendige for at indentificere og kontrollere enhver form for risiko for lækage af information eller personoplysninger.

Risikostyring er en kontinuerlig proces, der har til formål at identificere potentielle trusler og styre mulige hændelser, som kan påvirke organisationen. Risikostyring er dermed:

1.       Identificering af væsentlige risici
2.       Vurdering af de identificerede risici ud fra sandsynlighed og konsekvens
3.       Håndtering af de identificerede risici
4.       Rapportering af de væsentlige risici til relevant ledelsesmæssigt niveau.

Et ledelsessystem for informationssikkerhed (ofte kaldet ”ISMS” – Information Security Management System) er et væsentligt element i ISO 27001. Det har til formål at strukturere den ønskede adfærd og opstille rammen for god skik. 

ISMS’et indeholder alle de politikker, procedurer, retningslinjer og tilhørende ressourcer og aktiviteter, som en organisation administrerer for at beskytte sine informationsaktiver.

SoA (Statement of Applicability) er en central og obligatorisk del af ISO 27001. SoA’en beskriver, hvilke kontroller der indgår i jeres ISMS og udgør bindeleddet mellem jeres risikovurdering og den sikkerhed, I har implementeret. Altså, jeres samlede risikostyring.

ISMS skal sikre, at fortrolighed, integritet og tilgængelighed af information bevares ved hjælp af en risikostyringsproces og sikre, at interessenter har tillid til, at risici håndteres på en ordentlig måde.

ISMS skal ikke forstås som et IT-system, men som de strukturerede processer, der er nødvendige for, at organisationen lykkedes med den retning ledelsen ønsker. Standarden opsætter en god ramme om et sådant ledelsessystem og vil derfor anvendes som udgangspunktet i det videre arbejde med sikkerhedsanalysen. 

ISO27001 er sikkerhedsstandarden for statslige myndigheder i forhold til informationssikkerhed.

At forhindre cyberangreb og højne informationssikkerheden kræver et systematisk arbejde gennem implementering af den internationale sikkerhedsstandard.

Standarden tager udgangspunkt i den enkelte institutions risikoprofil og lægger op til foranstaltninger, der passer til den enkelte institution.

En stor del af arbejdet handler om ledelsens engagement og bevidste stillingstagen til procedurer og kontroller.

En systematisk og sikker behandling af persondata er reguleret i persondataforordningen.

Den internationale standard for privatlivsbeskyttelse ISO 27701 giver konkrete værktøjer til, hvordan man beskytter data og lever op til de gældende databeskyttelseskrav i GDPR-lovgivningen.