ISO27001

Der er ikke noget krav om en certificering efter noget særligt regime, men forordningen anbefaler at man, hvor det er muligt, vælger certificeringer som værktøj til at kunne dokumentere organisationens evne til at opfylde forordningens artikler, og her altså også artiklerne om informationssikkerhed og styring af risici for brud på datasikkerheden.

Ikke kun personoplysninger

GDPR er kun interesseret i beskyttelsen af oplysninger som er registreret om fysiske personer der har statsborgerskab i Unionen, mens ISO27001 hjælper dig med at opbygge et system, der beskytter alle de oplysninger, du registrerer - også dem, du har på andre medier end elektroniske!

Kontrol og sikkerheds rammeværktøj

Ifølge forordningen skal din virksomhed vælge tilstrækkelige tekniske og organisatoriske kontroller og værktøjer til at modvirke de identificerede risici. Hovedparten af de databeskyttelses indsatser, som forordningen anbefaler, er de samme som ISO27001 anbefaler.

Mennesker, processer og teknologi

ISO27001 er en international standard som omfatter de 3 essentielle aspekter af informationssikkerhed: mennesker, processer og teknologi. Det betyder at du beskytter din virksomhed mod risici, der ikke kun er teknologi båret, men også eksempelvis dårligt uddannede/informerede medarbejdere, og ineffektive arbejdsgange.

Ansvarlighed

ISO27001 stiller et krav om opbakning fra topledelsen, og indarbejdning i organisationen og virksomhedskulturen, bla ved udpegning af en højtstående funktionær med ansvar for virksomhedens ISMS[1]. Tilsvarende forlanger forordningen en tydelig ansvarlighed for databeskyttelsen igennem hele organisationen.

Risiko analyse

På samme vis som forordningen kræver en vurdering af risici fsv angår følsomme perosn oplysninger, kræver det gennemførelsen af jævnlige risiko analyser, for at beskytte virksomhedens informationsaktiver, og her identificere trusler og sårbarheder.

Kontinuérlige forbedringer

ISO27001 forlanger at virksomhedens ISMS overvåges konstant, opdateres og gennemgåes med henblik på forbedring - for at følge din virksomheds udvikling - og dermed sikrer at ISMS'et tilpasser sig ændringer, både internt og eksternt og kontinuért er med til at identificere og reducere risici.

Revision, afprøvning og tilsyn

For at din virksomhed kan overholde forordningens artikler er det nødvendigt at udføre jævnlige afprøvninger og revisioner for at sikre at det regime som bevarer data sikkerheden fungerer effektivt. ISO27001 standarden kræver tilsvarende at ISMS'et jævnligt bliver revideret ud fra de interne revisions retningslinjer som beskrives i standarden.

Certificering

Som nævnt indledningsvis er det et krav i forordningen at virksomheden demonstrerer evnen til at overholde forordningens artikler. Opretholdelsen af et certifikat - som fx ISO27001 - er en klar indikation af det er tilfældet, for så vidt angår data beskyttelsen.


  1. ↩︎