Brug IPW til dit ISMS

Vidste du?

14/05-2024

ISO 27001 og it-sikkerhed i IPW

Af: Morten Hougs, Product Manager, Information Security & Compliance Manager

Der er næppe tvivl om, at it-sikkerhed er blevet mere aktuelt end nogensinde. Vi er dybt afhængige af it og vi er derfor også potentielt sårbare, når et stigende antal mennesker med onde hensigter vil forsøge at ramme os. Derfor efterspørger it-ansvarlige, hvordan de kan bruge deres IPW-system som et redskab til arbejdet med it-sikkerhed. De er også nysgerrige på, hvordan vi selv, internt i IPW, arbejder med it-sikkerhed.

Hvorfor ISO 27001? Kan man ikke bare have en god it-sikkerhedsprocedure?

Jo, det kan man sikkert. Men der er mange – og gode – grunde til at arbejde hen imod en ISO 27001-certificering. ISO 27001 er en international standard, som ikke kun fokuserer på det tekniske – hardware og software – men også på mennesker og processer. Teknisk sikkerhed er meget lidt værd, hvis der ikke er kontrol over det menneskelige aspekt.

Hvordan anvender vi vores software til ISO 27001?

Hos IPW er vi selv godt i vej med at træde ombord i ISO 27001. Som virksomhed skal vi certificeres i ISO 27001 i 2024 som erstatning for vores nuværende ISAE 3402.

Vi har valgt ISO 27001, fordi den er globalt anerkendt best practice, og er det naturlige næste skridt for os som moden organisation. Det øger tilliden fra kunder og samarbejdspartnere og er et godt signal overfor især større organisationer.

Som andre virksomheder, der aktivt arbejder med it-sikkerhed, skal vi have et fleksibelt informationssikkerhedssystem, der sikrer, at vi ikke kun har kontrol og er i fremdrift, men at vi også kan dokumentere begge dele.

Som alle øvrige ledelsesstandarder er reviderede politikker, producerer og vejledninger et nødvendigt udgangspunkt for ISO 27001. Alle redskaber til dette findes ud af boksen i vores software. Det er sådan, vi entydigt dokumenterer og kommunikerer vores regler om, hvad man må og ikke må, hvad enten det handler om kodeordspolitik, opbevaring af data, håndtering af persondata eller anvendelse af tredjeparters løsninger.

Præcis som med de øvrige ledelsesstandarder, så skal vi ikke kun udstikke regler. Vi skal også kontrollere, at de efterleves og har den tiltænkte effekt, og vi skal løbende evaluere, om de skal udvides med yderligere tiltag.

Årshjulet i dit ISMS

Det gælder generelt for certificeringer, at de ikke er en engangsforeteelse; man skal kontinuerligt opretholde og forbedre det, man er certificeret efter.

Et godt udgangspunkt for dette er at etablere et årshjul. Dette har vi også lavet til vores eget ISMS. Et årshjul er ganske enkelt en formular, som styrer alle tilbagevendende opgaver og kontroller, og som integrerer ISMS-arbejdet i vores daglige drift. Nogle opgaver udføres én gang om året, andre med en lavere frekvens. Man kan også tildele ansvar til udvalgte medarbejdere, hvis det er relevant.

En årshjulsopgave kan fx være ’Test af it-sikkerhedsberedskabsplan’, hvor vi simulerer en alvorlig hændelse. Her tryktester vi den eksisterende beredskabsplan i detaljer for at finde mangler og svagheder. Finder vi sådan nogle, bliver de registreret som en finding.

Registrering af findings

Til dette formål har vi bygget en findings-formular, hvor vi registrerer fundne svagheder eller måske blot observationer, der kan styrke planen yderligere. Hvad har vi fundet hvor, hvem er ansvarlig for at rette op på det, og inden hvornår skal det udbedres?

[singlepic id=213 w= h= float=none]

Findings-formularen hjælper til at identificere områder, der kræver forbedring, og vi kan samtidig dokumentere, at vi auditerer vores procedurer med jævne mellemrum og håndterer eventuelle udfald.

Overblik over informationsaktiver

I arbejdet med it-sikkerhed er det nødvendigt at få det fulde overblik over virksomhedens informationsaktiver – altså groft sagt alle de systemer, hvori virksomhedens data opbevares og bearbejdes.

[singlepic id=214 w= h= float=none]

Hertil har vi bygget en formular til informationsaktiver. Her kan vi blandt andet vurdere det enkelte informationsaktivs score på de centrale begreber i it-sikkerhed: Fortrolighed, integritet og tilgængelighed. På baggrund af blandt andet dette, kan vi nemt identificere og dokumentere, hvilke informationsaktiver der er kritiske forretningssystemer. Det er også her, vi dokumenterer det interne ejerskab af informationsaktivet, har kobling til vores leverandørstyring, leverandørevaluering, vores risikovurdering og ikke mindst eventuelle GDPR artikel 30-registreringer på informationaktivet.

Dokumentation af SoA’en

Har man kendskab til ISO 27001, så vil man også være stødt på begrebet SoA – Statement of Applicability. Dette er listen over centrale it-sikkerhedsrelaterede kontroller, man skal have taget stilling til og – med få undtagelser – have implementeret.

[singlepic id=215 w= h= float=none]

Dette er også oprettet som en formular i vores eget ISMS. Her har listet alle SoA’ens punkter sammen med vurderingen af vores implementeringsgrad af det enkelte punkt. For at gøre det nemt at auditere er hvert enkelt punkt også knyttet sammen med alle ressourcer, der kan dokumentere vores implementering. Det kan fx være links til relevante politikker og producerer, eller være links til de andre formularer, hvor kontrollen håndteres og dokumenteres.

Awarenesstræning

Et eksempel på en sådan formular er planlægning og dokumentation af awarenesstræning. I ISO 27001 – og for den sags skyld enhver it-sikkerhedsstandard – kommer man
ikke uden om struktureret at arbejde med træning af medarbejderne. Med
registreringerne i vores formular til dette kan vi dokumentere ikke kun den allerede
udførte træning, men også give et samlet overblik over planerne for det kommende år.
Inklusive beskrivelse af træningen, hvem den er tiltænkt og hvem der er ansvarlig for
udførelse.

[singlepic id=218 w= h= float=none]

[singlepic id=217 w= h= float=none]

Samlet plan for interne og eksterne audits

Noget tilsvarende gælder for auditering. Heller ikke her adskiller it-sikkerhedsarbejdet sig fra øvrige ledelsesstandarder. Der skal løbende auditeres både internt og eksternt, og det er nødvendigt at have en dokumenteret plan for dette. Dette etableres også nemt som en formular i IPW, så det kan vises, at årets auditarbejde spænder bredt over itsikkerhedsarbejdets forskellige områder. Der er også her et overskueligt overblik over alle de forskellige typer ekstern auditering, der foretages, hvad enten det er auditbesøg fra kunder, vores eksterne samarbejdspartnere til sikkerhedsaudit, penetrationstest eller ekstern audit af vores egne leverandører. Dine audits også være kilden til findings, der skal viderebearbejdes.

[singlepic id=216 w= h= float=none]

Risikostyring på informationsaktiver

Som du måske kan fornemme, indeholder IPWs ISMS mange elementer. Dette er uundgåeligt i ISO 27001. En sidste ting, jeg også bør fremhæve, er formularen til
risikostyring. Risikostyring er et afgørende element i arbejdet med it-sikkerhed. For at etablere tilstrækkelige kontroller, er du nødt til at overveje, hvilke risici der findes.
Hos os er risikostyringen især knyttet til informationsaktiverne. Hvad er for eksempel risikoen, og hvordan håndterer vi det, hvis Microsoft 365 eller vores datacenter ikke er
tilgængeligt eller bliver kompromitteret.

En god kilde til inspiration til risici er naturligvis at kigge på tidligere sikkerhedshændelser. Også indsamlingen af sikkerhedshændelser – og deres efterfølgende behandling – kan
naurligvis bygges i IPW-systemet.

[singlepic id=211 w= h= float=none]

[singlepic id=212 w= h= float=none]

Masser af synergi ved at bruge samme it-system

Hvis du har kløet dig i hovedbunden over, hvordan du organiserer jeres itsikkerhedsarbejde, så tør vi godt love, at du faktisk har gode redskaber tilgængelige
allerede i IPW. Og ikke bare det: I opnår også en masse synergi.

At implementere formularer på årshjul, SoA, informationsaktiver, audits, findings og andet i forhold til ISO-standarden kan sidestilles med almindelig kvalitetsledelse, hvor I også har
kontrolpunkter og audits på procedurer. Her bruges IPW til at lave formularer på afvigelsesregistreringer, kundereklamationer, forbedringsforslag, bestilling af arbejdstøj.
Alle mulige formål. Og it-sikkerhedsarbejde er samme princip. Det kræver bare nogle lidt andre udformninger af lignende formularer og registreringer.
Det er en fordel, at det kan etableres i helt samme system som virksomhedens øvrige ledelsesarbejde. De forskellige politikker, procedurer og registreringer kan gøres
tilgængelige for de relevante medarbejdere. Uanset om de blot skal kende til kodeordspolitik, eller om de skal have ansvar for udvalgte, løbende kontroller, onboarding,
awarenesstræning eller audit.

Har du brug for formularkompetencer i forhold til ISMS? Så ræk ud. IPW yder ikke konsulentbistand på it-sikkerhed og certificeringer, som jo omfatter meget mere end
etablering af et ISMS-system, men vi giver altid en hjælpende hånd med at bygge formularer fra bunden.

”Der er masser af synergi ved at
bruge IPW til ISMS, da meget
it-sikkerhedsarbejde kan sidestilles
med almindelig kvalitetsledelse.”

Morten Hougs, Product Manager,
Information Security & Compliance Manager
IPW Systems A/S

Hvad indeholder et ISMS-system?

Risikostyring: Identifikation og vurdering af informationssikkerhedsrisici.
Politikker og procedurer: Implementering af politikker og procedurer, der definerer, hvordan informationssikkerhed håndteres i organisationen.
Ansvar: Etablering af organisationsstruktur, der sikrer, at informationssikkerhed prioriteres og overvåges på alle niveauer.
Overholdelse: Opfyldelse af lovkrav og standarder.
Evaluering og forbedring: Kontinuerlig tilpasning af ISMS til skiftende trusselslandskaber.

Lad os finde den rigtige løsning til din virksomhed

Book et idémøde, se en demo og find ud af, om du vil have mere hjælp fra os. Det koster dig ikke noget.