Sikkerhed og privatlivets fred er nøgleord i den moderne æra. Med hvert nyt højt profileret brud og med fremkomsten af Data beskyttelse på verdensplan, er det op til alle virksomheder og organisationer at sørge for at påvise, at de træffer rimelige foranstaltninger til at beskytte personoplysningerne de bruger. Det er her, at sikkerhedsstandarder som ISO 27001 har en en vigtig rolle.
Hvad er ISO 27001?
ISO 27001 giver dig mulighed for at vise, at du har analyseret din virksomhed, identificeret risici, handlet for at minimere sandsynligheden for og/eller virkningen af disse risici, og at du derefter har fået en uafhængig ekstern part til at kontrollere, at alt det, du gør, er rimeligt. Da denne kontrol finder sted hvert år, er det en løbende forpligtelse til at overholde reglerne.
Når du vælger leverandører, uanset om det er en outsourcer, som vil behandle dit papirarbejde, eller en SaaS-leverandør, som vil behandle oplysninger i skyen, eller enhver anden tjeneste, hvor du vil være afhængig af på deres sikkerhedsstandarder for at beskytte dine data og dit omdømme, er ISO 27001 en værdifuld certificering. Men hvordan kan du være sikker på, at den virksomhed, du er handler med har en gyldig certificering?
ISO 27001-kompatibel vs. ISO 27001-certificeret
Det første, du skal gøre, er at bede om en kopi af ISO-certifikatet. Det er almindeligt at finde leverandører, der stolt hævder, at de er "tilpasset ISO 27001", men tænk over, hvad det betyder. Tilpasset og certificeret er meget forskellige ting. Hvis en virksomhed gør alt det hårde arbejde for at "tilpasse" sig ISO-standarden, hvorfor så ikke tage det sidste skridt og blive certificeret? Eller er de tidligere blevet certificeret og har fået det fjernet, fordi de ikke opfyldte de krævede standarder?
The ISO 27001's anvendelsesområde
Når du har modtaget certifikatet, skal du først kontrollere, at det er gyldigt, og at det dækker de områder, som du har til hensigt at bruge leverandøren til. Så det første skridt her er at kontrollere certifikatets udløbsdato. Hvis det er udløbet, er det ikke gyldigt. Dernæst skal du kontrollere, at det organ, der har udstedt certifikatet, er akkrediteret. I IAF's medlemsliste dokumenterer tydeligt, hvem der er autoriseret til at akkreditere certificeringsorganer. I Det Forenede Kongerige er det f.eks. UKAS. Kontroller derefter, at det organ, der har akkrediteret leverandørens certifikat, er opført på det specifikke lands websted.
Vi ved nu, at certifikatet er gyldigt, men vi er ikke færdige endnu. Dernæst skal vi kontrollere, at certifikatet dækker den aktiviteter, som vi ønsker, at leverandøren skal udføre på de steder, hvor arbejdet skal udføres finde sted. ISO 27001 giver dig mulighed for at vælge, hvad du vil blive certificeret for, og de specifikke steder, som det gælder for. Dette er certificeringens anvendelsesområde.
Lad os f.eks. sige, at en virksomhed, der beskæftiger sig med sikker bortskaffelse af papirarbejde, udvider sine aktiviteter til et nyt sted. De har en ISO-certificering for deres oprindelige virksomhed. Certificeringen dækker ikke det nye sted, før certificeringsprocessen for det nye sted er afsluttet. Nu kan en certificering dække flere steder, men kun hvis det udtrykkeligt er angivet. Eller hvad nu, hvis den samme virksomhed besluttede at købe en SaaS-lønudbyder? ISO-certifikatet gælder kun for sikker bortskaffelse af papirarbejdet, det dækker ikke SaaS-driften.
Endelig, når du er overbevist om, at den certifikatet dækker det omfang, du har brug for, skal du kontrollere de kontroller, som leverandøren har indført for at sikre, at de opfylder dine krav og forventninger. ISO-certificering er en løbende proces, der er under udvikling. Da arten af risici og kundernes krav ændrer sig, gør kontrollerne det også. Så tjek din leverandør kontroller, og hvis de ikke opfylder dine krav, så insistere på, at yderligere kontrolforanstaltninger indføres. Dette vil give dig den nødvendige ro i sindet, samtidig med at samtidig gør det lettere for leverandøren at gencertificere sig, da han kan vise, at de aktivt vurderer de kontroller, de anvender, og opdaterer dem dem efter behov.
Hvordan du vælger leverandører og vurderer dem er et vigtigt aspekt af at opretholde din egen ISO 27001-certificering, så husk disse tre trin:
Først skal du kontrollere, at leverandørens certifikat er gyldigt.
For det andet - kontrollér, at anvendelsesområdet er relevant.
Endelig skal du kontrollere, at kontrollerne opfylder dine behov og forventninger.
MetaCompliance er stolt af at være ISO 27001-kompatibel. Hos MetaCompliance har vi altid stræbt efter at give vores kunder den stærkeste infrastruktur for informationssikkerhed. Denne certificering garanterer, at vores produkter er sat til de højeste standarder via godkendte og dokumenterede processer, og at vi er forpligtet til at overholde den højeste standard for informationssikkerhed. Kontakt os for at få flere oplysninger.
