Säkerhet och integritet är ledord i den moderna eran. Med varje nytt uppmärksammat intrång och med ökningen av dataskyddslagarna globalt sett är det upp till varje företag och organisation att visa att de vidtar rimliga åtgärder för att skydda den personliga information de använder. Här spelar säkerhetsstandarder som ISO 27001 en viktig roll.
Vad är ISO 27001?
ISO 27001 är ett sätt för dig att visa att du har analyserat din verksamhet, identifierat risker, vidtagit åtgärder för att minimera sannolikheten för och/eller effekterna av dessa risker och att du sedan har låtit en oberoende extern part kontrollera att allt du gör är rimligt. Eftersom denna kontroll sker varje år är det ett fortlöpande åtagande om efterlevnad.
När du väljer leverantörer, oavsett om det är en outsourcingleverantör som ska behandla ditt pappersarbete, en SaaS-leverantör som ska behandla information i molnet eller någon annan tjänst där du förlitar dig på deras säkerhetsstandarder för att skydda dina uppgifter och ditt rykte, är ISO 27001 en värdefull certifiering. Men hur kan du vara säker på att det företag du har att göra med har en giltig certifiering?
ISO 27001 Compliant vs ISO 27001 Certified
Det första du bör göra är att be om en kopia av ISO-certifikatet. Det är vanligt att hitta leverantörer som stolt hävdar att de är "anpassade till ISO 27001", men tänk efter vad detta innebär. Anpassad och certifierad är mycket olika saker. Om ett företag gör allt det hårda arbetet för att "anpassa sig" till ISO-standarden, varför inte ta det sista steget och bli certifierad? Eller har de tidigare varit certifierade och fått sin certifiering upphävd på grund av att de inte uppfyllde kraven?
Omfattningen av ISO 27001
När du har fått certifikatet är nästa sak att kontrollera att det är giltigt och att det täcker de områden som du tänker använda leverantören för. Det första steget är alltså att kontrollera certifikatets utgångsdatum. Om det har gått ut är det inte giltigt. Kontrollera därefter att det organ som utfärdat certifikatet är ackrediterat. I IAF:s medlemsförteckning dokumenterar tydligt vem som är behörig att ackreditera certifieringsorgan. I Storbritannien är det till exempel UKAS. Kontrollera sedan att det organ som har ackrediterat säljarens certifikat finns med på det specifika landets webbplats.
Vi vet nu att certifikatet är giltigt, men vi är inte klara än. Därefter måste vi kontrollera att certifikatet täcker de aktiviteter som vi vill att leverantören ska utföra på de platser där arbetet ska utföras. ISO 27001 gör det möjligt för dig att välja vad du ska certifieras för och vilka specifika platser det gäller. Detta är certifieringens omfattning.
Låt oss till exempel säga att ett företag som arbetar med säker hantering av pappersarbete expanderar sin verksamhet till en ny plats. Företaget har en ISO-certifiering för sin ursprungliga anläggning. Certifieringen omfattar inte den nya anläggningen förrän certifieringsprocessen för den är avslutad. Nu kan en certifiering omfatta flera anläggningar, men bara om det uttryckligen anges. Eller vad händer om samma företag bestämmer sig för att köpa en SaaS-leverantör av löner? ISO-certifikatet gäller endast för säker hantering av pappersarbete, det täcker inte SaaS-verksamheten.
När du väl är övertygad om att certifikatet täcker det område du behöver måste du slutligen kontrollera de kontroller som leverantören har infört för att se till att de uppfyller dina krav och förväntningar. ISO-certifiering är en pågående och utvecklande process. I takt med att riskerna och kundernas krav förändras, förändras även kontrollerna. Kontrollera därför leverantörens kontroller, och om de inte uppfyller dina krav ska du insistera på att ytterligare kontroller införs. Detta ger dig den sinnesro du behöver, samtidigt som det blir lättare för leverantören att återcertifiera sig, eftersom de kan visa att de aktivt utvärderar de kontroller de använder och uppdaterar dem vid behov.
Hur du väljer leverantörer och utvärderar dem är en viktig aspekt för att upprätthålla din egen ISO 27001-certifiering, så kom ihåg dessa tre steg:
Kontrollera först att leverantörens certifikat är giltigt.
För det andra - kontrollera att tillämpningsområdet är tillämpligt.
Slutligen - kontrollera att kontrollerna uppfyller dina behov och förväntningar.
MetaCompliance är stolt över att vara ISO 27001-kompatibelt. På MetaCompliance har vi alltid strävat efter att förse våra kunder med den starkaste infrastrukturen för informationssäkerhet. Denna certifiering garanterar att våra produkter är inställda på de högsta standarderna via godkända och dokumenterade processer och att vi är engagerade i den högsta standarden för informationssäkerhet. Kontakta oss för mer information.