D4InfoNet

ISO Standard 27001 – Hvorfor er den så vigtig?

ET NYT LEDELSESSYSTEM

ISO Standard 27001

Når man er certificeret, forpligter man sig til at holde en kontinuerlig struktur på virksomhedens data og informationer. En sådan struktur understøtter, at man løbende tager styring på  virksomhedens sikkerhed, organisationens dataflow, interne og eksterne aftaler, og at man overholder gældende lovgivningskrav om opbevaring af personfølsom data, GDPR.

ISO/IEC-standarden 27001 –
en vigtig risikovurdering

ISO/IEC-27001-standarden, der senest blev revideret i 2017, indeholder en række krav til styring af virksomheders og organisationers informationssikkerhed, så tab af datas fortrolighed, integritet og tilgængelighed undgås. Der er ikke kun tale om beskyttelse af pc’er, mobiltelefoner og bagvedliggende databaser mod cyberangreb eller lignende. Der er også tale om fysisk sikkerhed, så data ikke mistes eller kommer ud af kontrol i forbindelse med indbrud, tyveri, spionage, brodne kar i egne rækker, brand, eksplosioner, naturkatastrofer eller lignende.

Standarden bygger på, at anerkendte eksperter er gået sammen om at gennemføre en generel risikovurdering af organisationers sårbarheder på informationssikkerhedsområdet.

Med en sådan risikovurdering bliver potentielle farer og svagheder kortlagt, og disse er stort set de samme for enhver organisation uanset rammer, vilkår, størrelse, type og organisering. Kortlægningen vil derfor være bredt dækkende og relevant for rigtig mange virksomheder. Digitalisering, informationssikkerhed, privatlivsbeskyttelse og anden interessebeskyttelse betyder meget for alle organisationer – uanset om virksomheden er stor, lille, offentlig eller privat.

Kortlægningen har dannet grundlag for udviklingen af det såkaldte Anneks A i 27001-standarden.
Her har man delt hele risikobilledet op i 14 områder, hvor hvert område er igen delt op i et antal styrende eller beskyttende foranstaltninger – 114 i alt. Alle foranstaltninger skal adresseres, hvis en organisation vil undgå, at den kan komme ud for uoprettelige tab af informationers eller datas fortrolighed, integritet eller tilgængelighed på måder, som fører til økonomiske tab eller endda begrænsede muligheder for forretningsvidereførelse.

De 114 sikkerhedsfaktorer bør betragtes som en liste over mulige og hensigtsmæssige foranstaltninger, som alle virksomheder med interesse for informationssikkerhed bør overveje at implementere i egen organisation. Dog er det muligt, at ikke alle 114 foranstaltninger er lige relevante for alle.
Hvis man eksempelvis ikke beskæftiger sig med softwareudvikling, er der mindst 10 foranstaltninger, som kan fravælges alene af den grund, at man ikke har et udviklingsmiljø i virksomheden.
Oplever man ikke kundekrav om kryptering af data, er der andre foranstaltninger som bortfalder. Administrerer man ikke egne servere bag egen firewall, er der også her foranstaltninger, som kan vælges fra. 

For at opnå et overblik over, hvilke foranstaltninger, der kan vælges fra, er det et krav i ISO/IEC 27001, at man skal lave en fortegnelse over aktiver (List of Assets, LoA), hvor man får et rettidigt overblik over virksomhedens forretningsprocesser, databaser, hardware, software, netværk, personelle aktiver samt bygninger og lokaler. Når man har et fuldstændigt overblik over sine aktiver, ved man, hvor der kan opstå sårbarheder eller brister.

Ift. de personelle aktiver, bør man være opmærksom på, at meget viden og data i en virksomhed ikke nødvendigvis er dokumenteret og nedskrevet, og derfor kan det være skrøbeligt, hvis en nøgleperson forlader organisationen. I en sådan situation kan man hurtigt miste vigtig viden.  

De 14 overordnede risikoområder i ISO/IEC 27001 er:

Krav til GDPR

Der kommer løbende flere og flere lovmæssige krav, som knytter sig til opretholdelse af en effektiv informationssikkerhed. Et af de gode eksempler er GDPR og databeskyttelsesloven fra 2018.
Disse særlige krav til behandling af personoplysninger og beskyttelse af privatlivets fred førte til, at der i 2019 fra ISO/IEC kom endnu en standard på området, nemlig DS/EN ISO/IEC 27701, som indeholder krav til ledelsessystemer for privatlivsbeskyttelse. Sidstnævnte standard medtager de supplerende GDPR-krav, som ikke umiddelbart fremgår af ISO/IEC 27001, fordi den blev udviklet før GDPR.

Bringer man sig i overensstemmelse med kravene i begge de to kravstandarder fra ISO/IEC 27000-serien, vil man altså automatisk overholde alle krav i GDPR og databeskyttelsesloven samtidigt med, at den øvrige forebyggelse mod informationssikkerhedsbrister kommer på plads.

Gode grunde til at overholde ISO/IEC 27001

Ved certificering af ledelsessystemer forstår man en internationalt anerkendt tredjepartsattestation, med andre ord en blåstempling, af en organisations ledelsessystems faktiske overensstemmelse med kravene i udvalgte standarder.  
Ved en akkrediteret certificering vil der være uafhængige og kompetente auditorer, som vurderer om organisationens LoA og SoA er intakte, fyldestgørende og reelt leder til den sikkerhed, som interessenterne ønsker og forventer. Her kigger man bl.a. på, om de regler og praktiske arbejdsgange, der ligger i de indførte sikkerheds- og beskyttelsesforanstaltninger, virker og er implementeret i praksis.

Når overensstemmelsen er konstateret ved indsamling af beviser gennem omfattende stikprøver foretaget af auditorerne, og når eventuelle afvigelser fra kravene er lukket, udsteder certificeringsorganet certifikater. De er udtryk for, at man indiskutabelt kan have fuld tillid til organisationens sikkerhedssystem.

Certifikaterne er dermed diplomer, der overfor interessenterne og offentligheden tjener som synligt bevis på, at adgangskontrol, backup, virusbeskyttelse, m.m. er effektive, tilstrækkelige og virker i praksis. Bevisførelsen sker ofte ved gennemførelse af afprøvninger og tests.

Certificeringerne underbygger, at der er meget lille sandsynlighed for, at en organisation kan komme i uføre, fordi den ikke har set sig godt nok for med hensyn til forebyggelse af sikkerhedsbrister, herunder cyberangreb og tilsidesættelse af personers ret til beskyttelse af følsomme oplysninger om dem selv.

Worst case scenario

Hvis man ikke vil bruge ressourcer på at indføre et ledelsessystem for informationssikkerhed og privatlivsbeskyttelse, kan man risikere, at der ikke findes nogen egentlig modstandskraft eller robusthed over for cyberangreb, alvorlige tekniske nedbrud, brand, hårdt vejrlig, terroranslag, hærværk, voldsomme pandemier, krigshandlinger eller lignende. 

Hvis man eksempelvis aldrig har prøvet at bruge sine backups til at genskabe et helt virksomhedssystem fra scratch i sin fulde udstrækning på en helt ny pc, ved man reelt ikke, om det kan lade sig gøre, og hvor lang tid det i givet fald vil tage, og det kan være helt afgørende for beredskab og forretningsvidereførelse.

Den største motivationsfaktor for at implementere et ledelsessystem for informationssikkerhed og privatlivsbeskyttelse er at forebygge store økonomiske tab, som kan udløses af almindelig uorden og manglende struktur og procedurer. Eksemplerne kan være mange, fx:

    • Ekspederede ordrer, der aldrig bliver faktureret, fordi optegnelserne forsvinder
    • Vigtige forskningsresultater, der forsvinder, fordi der ikke er nedskrevne procedurer for dokumentation
    • Cpr-numre og patientjournaler, der kommer i forkerte hænder
    • Fabrikationshemmeligheder, der uforvarende havner hos konkurrenter
    • Bortviste medarbejdere, der tager al knowhow med sig ud, når de forlader virksomheden for sidste gang
    • Eksponering af oplysninger om journalisters ellers beskyttede kilder ved en fejl
    • Konfigurationsdata og sporbarhedsoplysninger, der ikke bliver lagret korrekt
    • Softwarekoder, der releases uden at være ordentligt testet eller verificeret
    • Copyrightbestemmelser, der overtrædes bevidst eller uforvarende
    • Fortrolige bestyrelsesdokumenter og forretningsplaner, der lækkes ved fejl
    • Hemmelige kontrakter, der glemmes i fotokopimaskinen
    • Kreditkortoplysninger og bankoplysninger, der misbruges i forbindelse med e-handel
    • Risiko for bedragerisager, fx fordi funktionsadskillelse på nøgleposter ikke er tilstrækkelig
    • Ministres og embedsmænds sms’er, der slettes ved en fejl
    • Hemmelige notater, der forsvinder på Rådhuset

– Listen er lang.

Et ledelsessystem for informationssikkerhed er dermed et redskab, der kræver løbende vedligeholdelse. 
Hvis regler og sikkerhedsprocedurer ikke følger med den tekniske udvikling, hvis de ikke løbende er genstand for audit, hvis informationssikkerhedsbrister ikke registreres og behandles forskriftsmæssigt, hvis ansvaret for daglige driftsopgaver forsvinder, vil det for det første føre til afvigelser ved certificeringsorganets løbende opfølgning, og for det andet vil det give en falsk tryghed på direktionsgangen.

Man kan gå så vidt som at sige, at et informationssikkerhedssystem, som der ikke er vilje, ressourcer, knowhow og definerede ansvar bag, er værre end ingenting. Certificering skal være med til at sikre, at det ikke kommer dertil.

Kan ISO/IEC 27001 eliminere cyberangreb?

Det korte svar er nej.

De cyberkriminelle miljøer på globalt plan vil typisk være et skridt foran informationssikkerheds- og it-eksperter fra mere autoriserede miljøer, som søger at dæmme op mod angreb med forebyggende foranstaltninger, beredskab, nød- og afværgeforanstaltninger og lignende.

Kort beskrevet er cyberkrig handlinger, der er foretaget af forholdsvist organiserede grupper af cyberkriminelle eller terrorister, som er blevet sat til ulovligt at tage kontrol over intetanende brugeres pc’er eller at penetrere en organisations pc’er og netværk med henblik på at forårsage maksimal ødelæggelse eller forstyrrelse af infrastruktur, herunder logistik og forsyningssystemer – altså en slags krigshandlinger, der udføres med digitale våben. Cyberangreb er stort set det samme, men gennemføres ofte af mindre organiserede hackere for egen vindings skyld.

Ledelsessystemer for informationssikkerhed med opfyldelse af kravene i ISO/IEC 27001 kan ikke hindre forsøg på illegitime indtrængninger eller indbrud i systemer af ondsindede og uetiske årsager, men jo bedre informationssikkerheden er, desto færre sårbarheder er der, hvilket alt andet lige reducerer risikoen for, at personer med ureelle hensigter vil have succes med deres systempenetration.
Systematisk styring af informationssikkerheden indebærer også, at den angrebne organisation vil have bedre mulighed for at overvinde konsekvenserne og begrænse skaderne og ulykkerne som følge af hændelser med brud på sikkerheden.

Hvordan giver en whistleblowerordning værdi?

INSPIRATION

Det skal du vide om
Whistleblowerordningen

En whistleblowerordning er et stærkt redskab, fordi den er med til at belyse alvorlige forhold i virksomheden, der er, eller på sigt kan udvikle sig, til skade. Hvad enten det drejer sig om bedrageri eller personrelaterede forhold, er en whistleblowerordning et værktøj til at holde en åben og ærlig virksomhedsform i hævd.

Hvorfor snakker alle
om whistleblowere?

Fra d.17. december 2021 blev det lovpligtigt at have en whistleblowerordning, hvis man er en privat virksomhed, der tæller mere end 249 ansatte.

Fra d.17. december 2023 vil det samme gør sig gældende, hvis man er en mindre virksomhed med mere end 49 ansatte. Vi dykker ned i, hvorfra lovkravet om en whistleblowerordning udspringer, og hvad en sådan ordning forsøger at gøre op med.

Hvorfra udspringer lovkravet om en whistleblowerordning?

Justitsministeriet fremsatte d. 25. februar 2021 et forslag til en lov om beskyttelse af whistleblowere efter  
Europa-Parlamentets direktiv, der blev vedtaget d. 23. oktober 2019. Kort fortalt kræver direktivet, at virksomheder, efter forskellige størrelsesordner, etablerer en whistleblowerordning.

Senere på året, d. 29. juni 2021, vedtog Folketinget lov om whistleblowerordning gældende fra d.17. december 2021 for private virksomheder, der tæller mere end 249 ansatte og for offentlige institutioner, der tæller mere end 49 ansatte.

Whistleblowerloven gælder også for mindre virksomheder, der tæller mere end 49 ansatte, men skal dog først være implementeret inden d.17. december 2023.  

Foruden indberetninger om overtrædelser af EU-retlige regler, som vedrører fx. offentligt udbud, finansielle tjenester, produkter og markeder, forebyggelse af hvidvask af penge og finansiering af terrorisme m.v., vil loven også omfatte “alvorlige lovovertrædelser i øvrigt, eller andre alvorlige forhold”.

Ved alvorlige lovovertrædelser i øvrigt forstås, at der er tale om lovovertrædelser af strafferetlige regler. Det kan fx være bedrageri, underslæb og tyveri.
 
Ved andre alvorlige forhold er der generelt tale om forhold af en sådan karakter, at en afsløring vil være i samfundets eller offentlighedens bedste interesse. Det betyder bl.a., at ordningens anvendelsesområde tæller seksuel krænkelse og chikanesager i forskellige afskygninger. Hvis det berører frihedsrettigheder eller personlig integritet, falder det indenfor ordningens kerneområde. Det er dog altid en konkret vurdering fra indberetning til indberetning at finde ud af, om den anmeldte sag falder uden- eller indenfor lovens anvendelsesområde.

Lovkrav om implementering af en whistleblowerordning

Fra d. 17. december 2021 blev virksomheder, der tæller mere end 249 ansatte, forpligtet til at etablere en intern whistleblowerordning, hvor medarbejdere anonymt kan indberette om overtrædelser.

Ved betegnelsen intern whistleblowerordning forstås, at ordningen kun stilles til rådighed for virksomhedens egne ansatte, men den kan dog også stilles til rådighed for andre, såsom eksterne leverandører, frivillige, praktikanter eller tidligere medarbejdere.

I forbindelse med en indberetning, skal der internt udpeges en upartisk, uafhængig enhed. Enten i form af en person eller en afdeling, der administrerer whistleblowerordningen. En enhed, der med andre ord modtager indberetninger, og har kontakt med whistlebloweren uden at tage imod instruktioner omkring den konkrete sagsbehandling. I forhold til udpegelsen af en whistleblowerenhed, må der gerne være organisatorisk afstand mellem enheden og ledelsen. Man kan derfor med fordel outsource whistleblowerordningen helt eller delvist til tredjepart, fx advokater, hvis disse lever op til lovens krav om upartiskhed.

Dertil vil der også blive etableret en uafhængig og selvstændig ekstern whistleblowerordning hos Datatilsynet, der kan behandle overtrædelser om ovennævnte forhold.

Hvordan giver en whistleblowerordning værdi til en virksomhed?

En whistleblowerordning er et stærkt redskab, fordi den er med til at belyse alvorlige forhold i virksomheden, der er til skade, eller som på sigt kan udvikle sig til dette. Hvad enten det drejer sig om bedrageri eller personrelaterede forhold, er en whistleblowerordning et værktøj til at holde en åben og ærlig virksomhedsform i hævd.

Whistleblowerloven foreskriver, at man som virksomhed skal fastsætte procedurer for, hvordan man håndterer indberetninger fra whistleblowere, og dertil følger også dokumentationspligter.
I praksis vil det betyde, at man skal dokumentere, at man har implementeret anonyme indberetningskanaler, at man har udpeget upartiske medlemmer i en whistleblowerenhed, og at man har beskrevet konkrete procedurer for, hvordan enheden kan modtage indberetninger, give en bekræftelse til whistlebloweren, foretage en opfølgning på selve indberetningen og give det, der hedder en feedback – altså en besked til whistlebloweren om, hvad det er, man har foretaget af opfølgende handlinger. Alt sammen indenfor nogle frister, der er beskrevet i Whistleblowerloven.

Der ligger adskillige administrative opgaver i at vedligeholde en whistleblowerordning, og man kan derfor med stor fordel implementere et whistleblowersystem, hvor procedurerne er gjort klar til praksis efter gældende lovkrav, hvor der er garanteret høj sikkerhed omkring whistlebloweren, og hvor GDPR-reglerne overholdes til punkt og prikke. Dertil kan et whistleblowersystem øge trygheden og trivslen i din virksomhed, fordi der er etableret anonyme kommunikationskanaler og konkrete procedurer for, hvordan indberetninger af forskellige karakterer skal håndteres.

Ønsker du at høre mere om, hvad D4Whistler kan tilbyde din virksomhed?

Et nyt ledelsessystem – Hvordan forbereder din virksomhed sig bedst muligt?

ET NYT LEDELSESSYSTEM

Hvordan forbereder din virksomhed sig bedst muligt til et nyt ledelsessystem

Med D4InfoNet hjælper vi virksomheder med at øge deres effektivitet, men inden vores ledelsessystem bærer frugt, råder vi altid vores kunder til at forberede sig bedst muligt, for det kan til være et større projekt at få etableret en gennemgående struktur på virksomhedens arbejdsgange i hverdagen.

Hvordan forbereder din virksomhed sig bedst muligt til et nyt ledelsessystem?

Et ledelsessystem er et stærkt redskab for virksomheder til at øge effektivitet og skabe overblik over organisationens daglige processer, men inden systemet kan bære frugt, er det vigtigt, at man forbereder sin virksomhed bedst muligt. For mange kan det være et større projekt at etablere en gennemgående struktur på virksomhedens arbejdsgange.  

Nedenfor deler vi 5 gode råd til, hvordan man forbereder sig bedst muligt på at integrere et nyt ledelsessystem i sin virksomhed:

1. Intern forventningsafstemning

Det kræver tid og ressourcer at integrere et nyt ledelsessystem, og vi råder derfor vores kunder til at gøre sig nogle grundlæggende overvejelser omkring hvilke dele af deres forretning, de ønsker beskrevet og optimeret i det nye system.

For nogle virksomheder handler det udelukkende om at overholde kravene for en certificering, mens det for andre også er et værktøj til at få kortlagt de forskellige processers arbejdsgange og derved få en forståelse for, hvor der er plads til optimering. Nye arbejdsgange tager tid at få integreret, og vi anbefaler derfor, at man planlægger og afstemmer derefter.

2. Kend systemets brugere

Det er vigtigt at have en fornemmelse for brugernes behov og kvalifikationer. Ønsker man fx at integrere et nyt ledelsessystem i en produktionsvirksomhed, anbefaler vi, at man gør sig nogle overvejelser omkring, hvordan systemet skal indgå i produktionens arbejdsgange.

Mange procedurer bliver fortsat registreret på papir og arkiveret i fysiske mapper, men der er mange fordele ved overføre det til et digitalt ledelsessystem.
Vær derfor klar til at investere i flere computere eller tablets, så systemet når ud til alle relevante brugere i virksomheden.

Vær opmærksom på, at for nogle medarbejdere kan det være en udfordring at benytte en computer. Vi anbefaler derfor, at man sætter ressourcer af til undervisning, og etablerer en understøttende arbejdskultur, hvor man opfordrer medarbejderne til at stille spørgsmål, hvis der er noget, de ikke forstår.

3. Kend dagligdagens arbejdsgange

Et ledelsessystem er et positivt redskab til at optimere hverdagens arbejdsgange. For at opnå det fulde udbytte af, hvad sådant system kan gøre for din virksomhed, anbefaler vi, at man kortlægger virksomhedens processer for at nå frem til en fælles forståelse for, hvordan man udfører sit arbejde. Ledelsessystemet hjælper med at beskrive organisationens processer, så man derigennem får et nuanceret overblik over, hvordan arbejdsgangene ser ud. Derefter kan man optimere på de relevante områder, fordi man forstår, hvor de kritiske overgange i dagligdagens processer finder sted. Det er de kritiske processer man skal starte med at tage hånd om, for der opnår man den største gevinst.

Vi anbefaler også, at man involverer brugerne ved at bede dem om at visualisere arbejdsprocesserne trin for trin. På den måde får man en realistisk forståelse for medarbejdernes dagligdag samtidig med, at de opnår ejerskab for det nye system, fordi det tager udgangspunkt i deres hverdag og kortlægning.

4. Find dine ambassadører

Når man kaster sig ud i at implementere et nyt ledelsessystem, er det altid vigtigt, at brugerne bliver inddraget og orienteret om, hvad der venter af nye processer. Det gælder også for de medarbejdere, som potentielt ikke trives med forandringer. Det kan derfor være altafgørende, at man udvælger en mindre gruppe, der repræsenterer virksomhedens forskellige medarbejdere bedst muligt, til at være projektets ambassadører. De bidrager med viden og erfaring fra deres pågældende afdelinger, og det danner grundlaget for en vigtig forståelse hos ledelsen for, hvordan virksomheden bedst muligt integrerer og opnår udbytte af de nye redskaber.
Derudover er ambassadørerne med til at hjælpe kollegerne til at forstå, hvordan de bruger det nye system, og hvordan det gavner deres daglige arbejdsgange.

5. Forstå mulighederne i et ledelsessystem

Ofte, når man hører ordene “ledelsessystem” og “kvalitetssikring”, vækker det en bekymring hos medarbejderne for at blive kontrolleret, målt og vejet. Derfor er det vigtigt, at man forbereder dem på, at de nye redskaber ikke handler om at kontrollere personer, men i stedet for om at få en forståelse for dagligdagens processer, for derefter at kunne effektivisere bedst muligt. Systemet gør det også nemmere at vurdere, om de registreringer, man typisk foretager sig i en produktion, er nødvendige, eller om man skal gøre noget andet.

Systemet er også til for at lette medarbejdernes daglige processer. 
De seneste ISO-Standarder understøtter den risikobaserede tankegang, og et ledelsessystem kan hjælpe med at få lokaliseret, hvor i virksomheden man kan optimere og styrke sin udvikling.

Et ledelsessystem er et positivt optimeringsredskab.

Søg på D4InfoNet.dk

Få en gennemgang af D4InfoNet

Book en tid med en af vores konsulenter.
Udfyld navn og telefonnummer, så kontakter vi dig hurtigst muligt.

Få en gennemgang af D4InfoNet

Book en tid med en af vores konsulenter. Udfyld navn og telefonnummer, så kontakter vi dig hurtigst muligt.

Tilmeld dig til et af vores kurser

Udfyld felterne, så kontakter vi dig.

Tilmeld dig til et af vores kurser

Udfyld felterne, så kontakter vi dig.