ISO 27001 är en certifiering som går ut på att säkerställa säkerheten i företaget. Man kan se det som en manual att följa för att se till så att personuppgifter och annan känslig information hanteras på ett så tryggt sätt som möjligt. Ett säkert sätt att undvika personuppgiftsincidenter och så även böter. Här kommer vi gå igenom allt du behöver göra för att uppfylla kraven för ISO 27001. Häng med!
Det viktigaste är att få med styrelsen på arbetet. Oavsett vilken organisation man arbetar i går det inte att komma runt att det är styrelsen som är ytterst ansvarig för bolagets handlingar. Det gör också att styrelsen är ytterst personuppgiftsansvarig. Om styrelsen inte är med på tåget så spelar ingenting någon roll.
Detta kan vara lättare sagt än gjort. Speciellt om man har en styrelse som inte är särskilt van vid operativt arbete. Genom att informera dem om innebörden av deras ansvarstagande har man dock vunnit mycket. Det kommer även styrelsen att gynnas av på lång sikt.
ISO 27001 syftar till att förbättra informationssäkerheten i organisationen. Därför är det otroligt viktigt att arbetet är nedskrivet i en gedigen policy. Skulle det inte skrivas ned i en gemensam policy skulle arbetet med informationssäkerheten bli direkt personberoende. Något man vill komma bort från så långt möjligt.
I policyn ska man exempelvis ta upp vilka som är ansvariga, hur man ska hantera incidenter, vilka typer av uppgifter som samlas in och lagras samt medarbetarnas skyldigheter och rättigheter.
Ett annat viktigt led i arbetet är att utföra en riskanalys. Gå igenom tydligt vilka typer av läckor som kan finnas i bolaget. Krävs det tvåfaktorsautentisering för att komma åt och hantera känsliga uppgifter eller kan vem som helst göra det? Genom att göra en grundläggande analys av alla risker som finns kopplade till arbetet med personuppgifter och annan data kan man ganska snabbt kartlägga situationen i organisationen.
Ett lag är inte starkare än sin svagaste länk. Det är en lika gammal som korrekt sanning. Se till att alla i organisationen är införstådda med arbetet som kommer genomföras. Från toppen och ned. Om det finns en enda lucka inom organisationen kan allt fallera direkt.
Om ni tror att er organisationer har en trygg rutin för informationssäkerhet kan ni ansöka om att bli certifierade enligt ISO 27001. Att bli certifierad i ISO 27001 är en kvalitetsstämpel som visar att ni är en seriös aktör. Det kan vara en direkt avgörande skillnad för framtida eventuella kunder om huruvida de vill arbeta med er eller inte. Ju tryggare organisation, desto bättre.