Informationssikkerhed

At implementere et ledelsessystem for informationssikkerhed øger sikkerheden for, at virksomheden med fokus på relevante informationsaktiver, løbende optimerer sikkerhedsforanstaltninger og omkostningerne forbundet med disse foranstaltninger.

Informationssikkerhed rækker længere end IT-sikkerhed, og afdækker således områder uden direkte relation til IT, og strækker sig helt ud til organisationens interessenter. Virksomhedens håndtering af informationssikkerhed har ikke kun betydning for organisationens drift af systemer, men handler i høj grad også om virksomheden evne til effektivt at udvikle og styre informationsstrømmene, integrere informationsteknologi og håndtere behandling af informationer på en sikker og effektiv måde. Alt sammen noget, der både har betydning for virksomhedens image og bundlinje.

Siden 2007 har DS484 udgjort statens obligatoriske standard for it-sikkerhed. Når en aktuel revision af ISO27001 er færdig, formentlig i 2013, vil ISO27001 blive ny obligatorisk standard for informationssikkerhed i staten, i stedet for DS 484.

ISO27001 Ledelsessystem for Informationssikkerhed

Denne standard stiller krav til “Ledelsessystem for informationssikkerhed”, også kaldet et ISMS. Modsat DS484 stiller ISO27001 ikke direkte krav til konkrete sikringsforanstaltninger, men kobler i højere grad ledelsesansvaret med de praktiske foranstaltninger. Det giver en række andre muligheder, men også en lang række nye udfordringer.

De fleste virksomheder har allerede implementeret en række sikkerhedsforanstaltninger, især i relation til IT og datasikkerhed. Der imod er det de færreste, der reelt har implementeret målrettet informationssikkerhed, og de kontroller, der evt. er indført, er ofte ustrukturerede og usammenhængende, eller enkeltstående aktioner som følge af konstaterede brister i sikkerheden. Ved anvendelse af ISO27001 sættes fokus på mere end 130 kontroller, der samlet bidrager til en effektiv og værdiskabende informationssikkerhed.

Ved implementering af et ledelsessystem for informationssikkerhed efter IS027001, og de tilhørende standarder i 27000 serien, øges sikkerheden for, at alle risici og sårbarheder vurderes og håndteres på baggrund af objektive ledelsesmæssige beslutninger i forhold til virksomhedens egne politikker og sikkerhedsbehov.

ISO-standarden for informationssikkerhed er grundlæggede opbygget efter samme principper som andre kendte ledelsessystemstandarder inden for ISO, og kan derfor med fordel integreres med andre ISO-standarder. Man kan derfor med stor fordel indtænke denne mulighed, hvis man vælger at indføre et elektronisk system til understøttelse af sit ledelsessystem.