Informationssäkerhet med GDPR och ISO 27001

Informationssäkerhet handlar om att bevara informationens konfidentialitet, integritet och tillgänglighet. Med andra ord, se till att informationen som ni äger är inte möjligt att få tag i för obehöriga användare – och samtidigt gör den tillgänglig för dem som ska ha tillgång.

Tre viktiga begrepp inom informationssäkerhet:

  • Konfidensialitet: Att se till att obehöriga personer, enheter, eller processer inte får åtkomst till information
  • Integritet: Informationen ska vara korrekt och komplett
  • Tilgänglighet: Informationen måste vara tillgänglig och tillämplig när den behöriga person begär det

GDPR integrerat i ledningssystemet

Med GDPR finns det nya riktlinger för informationssäkerhet och integritet. I SIMPLIs system hittar du funktioner som kan uppfylla kraven i GDPR och ISO 27001-standarden för informationssäkerhet. Bland annat löses detta genom att driva riskbedömningar på informationssäkerhet. Detta är integrerat i SIMPLIs systemer.

I systemet registrerar du alla dina tillgångar – resurser- och bearbetar de enligt datalagring och borttagningskrav. Användningen av denna funktionalitet gör det enkelt för ditt företag att följa lagar och riktlinjer.
Certifiering inom informationssäkerhet (ISO 27001)

För att bevisa att du har kontroll över den information du hanterar är en tredjepartscertifiering överlägset enklaste. ISO 27001 ger en bra struktur för hur man bygger och ständigt förbättrar informationssäkerheten. Ett informationssäkerhetsystem består av ett antal policyer, procedurer, riktlinjer, resurser och aktiviteter och är en systematisk metod för att upprätta, genomföra, driva, övervaka, granska, behålla och förbättra informationssäkerhet för att uppnå affärsmål.

Nyckelelement

I ISO 27001 hittar vi begreppet Aktiva. I Aktiva hittar du alla typer av information och informationsbärare. Kort sagt- det som har värdet för verksamheten. Dessa måste kartläggas noggrant. Riskarbetet är central till ISO 27001. Det är en utmanande övning då man måste evaluera vilka hot och sårbarhet som gäller alla de olika tillgångarna och de risker som kan uppstå. Var och en av dessa måste övervägas och det måste dokumenteras hur verksamheten följer upp de olika riskerna genom konkreta åtgärder.

I ISO 27001 (Bilaga A) finns ett brett utbud av säkringsåtgärder som anses utgöra en lösning, inklusive andra risker. Denna lista med 114 åtgärder är inte komplett och det förväntas att du ska leta efter andra möjliga skyddsåtgärder också. Om du inte har genomfört någon av de 114 åtgärderna måste den också dokumenteras. Efter att säkringsåtgärder har vidtagits bör man också bedöma restrisken.

Bevisa ditt fokus!

Informationssäkerheten blir viktigare och viktigare. Det är informationen man förvaltar som är grunden för ett företag. Att bevisa för kunderna, leverantörer och myndigheter att man har kontroll över deras informationssäkerhet kan vara krävande om man inte har ett certifikat som visar att man har kontroll över detta område och fokuserar ständigt på att förbättra arbetet med det.

Lära mer om ISO 27001?

Är ni intresserad i ISO 27001, kontakta SIMPLI idag. Vi ser gärna på ISO 27001 tillsammans mer er, och gärna i kombination med andra standarder i ledningssystem- som ISO 9001 (kvalitet). Våra system tillhandahåller det som behövs och vår implementeringsrådgivning säkerställer certifiering.