IT- og informationssikkerhed (ISO 27001)
Beskyt virksomhedens informationer, data og forretningsgrundlag
Informationssikkerhed er i dag et ledelsesansvar på linje med kvalitet, økonomi og arbejdsmiljø. Cyberangreb, phishing, ransomware, datalæk, leverandørrisici og stigende krav fra kunder og myndigheder betyder, at virksomheder i alle brancher bør arbejde systematisk med beskyttelse af informationer og data.
Hos Lasse Ahm Consult ApS hjælper vi virksomheder med at etablere, udvikle og auditere ledelsessystemer for informationssikkerhed efter ISO 27001.
Vi tilbyder rådgivning, GAP-analyser, interne audits, undervisning og hjælp til certificering. Lasse Ahm er uddannet Lead Auditor inden for ISO 27001 og har erfaring med at hjælpe virksomheder med at omsætte standardens krav til praktiske løsninger, der fungerer i hverdagen.
Vi hjælper virksomheder med at skabe reel sikkerhed, overblik og styring af de informationer, som er afgørende for virksomhedens drift og fremtid. Vores fokus er altså ikke alene at skabe dokumentation.
Hvad er ISO 27001?
ISO 27001 er den internationalt anerkendte standard for informationssikkerhed.
Standarden beskriver, hvordan virksomheder kan etablere, implementere, vedligeholde og løbende forbedre et ledelsessystem for informationssikkerhed (ISMS – Information Security Management System).
Formålet er at beskytte virksomhedens:
- Fortrolighed
- Integritet
- Tilgængelighed
af informationer og data.
Informationssikkerhed handler derfor ikke kun om IT-systemer og firewalls. Det handler i lige så høj grad om mennesker, processer, ledelse, hardware og software, risikostyring og virksomhedens daglige arbejdsgange.
Informationssikkerhed handler om langt mere end IT
Mange tror fejlagtigt, at informationssikkerhed alene er en opgave for IT-afdelingen.
I virkeligheden opstår mange sikkerhedshændelser gennem:
- Menneskelige fejl
- Mangelfuld adgangsstyring
- Utilstrækkelig træning
- Samarbejdet med leverandører
- Deling af informationer på tværs af kunder og internt i virksomheden
- Manglende procedurer
- Utilstrækkelig risikovurdering
Derfor lægger ISO 27001 stor vægt på, at hele organisationen involveres i arbejdet med informationssikkerhed.
Vi hjælper med implementeringen
Vi hjælper virksomheder med at opbygge et informationssikkerhedsledelsessystem, som passer til virksomhedens størrelse, risikoprofil og forretningsmodel.
Arbejdet omfatter typisk:
- Kortlægning af informationsaktiver
- Risikovurderinger
- Identifikation af trusler og sårbarheder
- Fastlæggelse af sikkerhedsforanstaltninger
- Politikker og procedurer
- Beredskabs- og gendannelsesplaner
- Leverandørstyring
- Træning og awareness
- Ledelsesevaluering
- Intern audit
Målet er at skabe et system, som understøtter virksomheden og ikke bliver en administrativ byrde.
GAP-analyse før certificering
Mange virksomheder ønsker at vide, hvor de står i forhold til ISO 27001, inden de påbegynder et certificeringsprojekt eller står foran selve certificeringen.
Her kan en GAP-analyse være et effektivt værktøj.
Ved en GAP-analyse gennemgår vi virksomhedens eksisterende praksis og dokumentation og sammenholder dette med kravene i ISO 27001.
Resultatet er et klart billede af:
- Hvad virksomheden allerede gør godt
- Hvilke områder der kræver opmærksomhed
- Hvilke aktiviteter der bør prioriteres frem mod certificering
Dette giver et godt beslutningsgrundlag for det videre arbejde.
Interne audits af informationssikkerheden
Interne audits er et af de stærkeste værktøjer til at skabe forbedringer.
En intern audit handler ikke kun om at kontrollere, om procedurerne følges. Den handler også om at identificere muligheder for forbedringer og sikre, at informationssikkerheden fungerer i praksis.
Vi gennemfører interne audits med fokus på:
- Risikostyring
- Ledelsens involvering
- Adgangsstyring
- Leverandører
- Backup og gendannelse
- Beredskab
- Awareness og træning
- Hændelsesstyring
- Dokumentation
- Efterlevelse af ISO 27001
Auditeringen gennemføres konstruktivt og med fokus på at skabe værdi for virksomheden.
Vigtige fokusområder inden for informationssikkerhed ?
Informationssikkerhed udvikler sig hurtigere end nogensinde tidligere. Nogle af de områder, som virksomheder i stigende grad arbejder med, er:
Cyberangreb og ransomware
Cyberkriminalitet er blevet en professionel industri.
Virksomheder oplever i stigende grad forsøg på hacking, phishing og ransomware-angreb, som kan få alvorlige konsekvenser for driften.
Leverandør- og tredjepartsrisici
Virksomheder er mere afhængige af eksterne leverandører end nogensinde før.
Derfor er fokus på leverandørstyring, cloud-løsninger og outsourcing vokset markant.
AI og informationssikkerhed
Anvendelsen af kunstig intelligens skaber store muligheder, men også nye risici.
Virksomheder skal blandt andet forholde sig til:
- Deling af fortrolige oplysninger
- Brug af AI-værktøjer
- Databeskyttelse
- Adgangskontrol
- Governance
NIS2-direktivet
NIS2 har sat informationssikkerhed højt på dagsordenen i mange virksomheder.
Selv virksomheder, som ikke direkte er omfattet af direktivet, oplever ofte stigende krav fra kunder og samarbejdspartnere.
Awareness og sikkerhedskultur
Teknologi alene kan ikke skabe sikkerhed.
Derfor arbejder flere virksomheder målrettet med at skabe en stærk sikkerhedskultur, hvor medarbejderne aktivt bidrager til at beskytte virksomhedens informationer.
Certificering efter ISO 27001
Et ISO 27001-certifikat dokumenterer over for kunder, samarbejdspartnere og myndigheder, at virksomheden arbejder systematisk med informationssikkerhed.
Mange virksomheder oplever samtidig fordele som:
- Større tillid hos kunderne
- Bedre risikostyring
- Styrket konkurrenceevne
- Mere struktur og overblik
- Højere modenhed inden for informationssikkerhed
For mange virksomheder er certificeringen samtidig et vigtigt konkurrenceparameter ved udbud og større kundeaftaler.
Skal vi hjælpe jer videre?
Ønsker I sparring om informationssikkerhed, ISO 27001, NIS2, intern audit, GAP-analyse eller certificering, er I altid velkomne til at kontakte os for en uforpligtende dialog.
Vi hjælper virksomheder sikkert gennem processen – fra de første overvejelser til det endelige certifikat.
Kontakt os på telefon 5629 7236 – Vi er klar!
