ISO-27001

Få hjælp til ISO 27001-certificeringen

En ISO 27001-certificering er løsningen for jer, der vil gå forrest med informationssikkerhed og GDPR og have papir på det.

Når I har en ISO 27001-certificering

  • viser I, at I har godt styr på GDPR, og at I er gået skridtet videre
  • får kriminelle meget sværere ved at stjæle vigtige og fortrolige oplysninger – både fysisk og elektronisk
  • beskytter I både virksomhedens, de ansattes og kundernes fortrolige oplysninger

Derfor er det ikke uden grund, at mange virksomheder stiller krav om ISO-certificeringer, når de vælger leverandører. Samtidig bliver I en mere attraktiv arbejdsplads for eksisterende og kommende medarbejdere, ligesom samarbejdspartnere kan vise jer en større fortrolighed, fordi de ved, at deres fortrolige oplysninger forbliver fortrolige.

ISO 27001 er en standard, der er mere omfattende end den lovpligtige GDPR, der udelukkende handler om personoplysninger. Derfor kræver certificeringen, at I gennemgår alle de forhold, der kan være relevante i forhold til informationssikkerheden på en række områder:

Fysisk:

  • Hvordan håndterer I trykte papirer internt i virksomheden? Både når I arbejder med dem og bagefter
  • Hvordan sikrer I, at det kun er de rette personer, der kommer ind i virksomheden og dens systemer?
  • Hvordan sletter I fortrolige oplysninger, når I skiller jer af med telefoner eller computere?

Den digitale infrastruktur:

  • Hvilke procedurer har I for at opdatere jeres software, så I undgår at blive hacket?
  • Hvor ofte tager I back up – og præcist hvad skal den enkelte person gøre?
  • Hvordan skelner I mellem forskellige typer af informationer?

I forhold til medarbejderne:

  • Hvilke politikker har I om, hvornår dokumenter skal krypteres, og hvad er retningslinjerne for hvordan de bliver det?
  • Hvordan sikrer I, at et kun er relevante medarbejdere, der har adgangskoder til databaser?
  • Hvordan bliver nye medarbejdere introduceret, så de lærer at håndtere jeres og kundernes data korrekt og sikkert helt fra starten?

Især medarbejderne er ofte kilden til store sikkerhedsbrister. Det er desværre ikke ualmindeligt, at medarbejderne deler koder med hinanden, forbliver logget ind på computeren, når de forlader kontoret, låner computeren ud eller holder fortrolige samtaler med åbne døre.

Derfor indeholder ISO 27001 et helt afsnit specifikt om, hvordan  medarbejderne skal håndtere informationer, men også om, hvordan virksomheden skal håndtere ansættelsesproces, selve arbejdsforholdet og når ansættelsen opfører. Fordelen er, at denne opgave ikke kræver nogen form for teknisk indsats eller viden. Det er udelukkende klokkeklare regler og fokus på området, så medarbejderne forstår, hvor vigtigt det er, at de passer på – helt ned i de mindste detaljer.

På en række af de andre områder oplever mange virksomheder, at de ikke behøver at lave de store ændringer i deres procedurer, fordi tingene fungerer fint. Her vil I sikkert udelukkende få behov for at skrive procedurerne ned, så auditorerne, der skal godkende virksomhedens processer, kan se, at det hele er gennemtænkt, og medarbejderne let kan slå et emne op, hvis de kommer i tvivl.

Mens I arbejder med certificeringen, kan det være, I opdager, at I mangler enkelte procedurer i forhold til informationssikkerheden. Som regel kræver disse få procedurer mindre arbejde, end mange forestiller sig. Så hvorfor ikke gå i gang med det samme? Og vil man gå videre i forhold til privatlivsbeskyttelse og GDPR findes der også en ISO 27701.

Hvad er ISO 27001?

ISO 27001 er den standard, der dokumenterer, at I har gennemarbejdede processer for at sikre alle jeres informationer. Både når det gælder personlige oplysninger eller virksomhedsmæssige forhold.

18 år som iso-specialist

Træk på min ISO 27001 erfaring

Mange foretrækker at få professionel rådgivning i forbindelse med ISO 27001, for at være sikre på, at de løser opgaven rigtigt med det samme.

Overvejer I også det, mødes jeg gerne med jer for at drøfte mulighederne. Her kan I spørge ind til, hvad det vil kræve at blive ISO 27001-certificeret i netop jeres virksomhed. Måske har I nogle særlige emner, I gerne vil spørge ind til. Samtidig vil jeg stille jer en række spørgsmål om, hvordan I arbejder nu. Både i forhold til informationssikkerheden og mere generelt, så jeg får indblik i, hvor omfattende jeres certificeringsopgave vil blive.

Hvis I ønsker det, sender jeg gerne et uforpligtende tilbud på rådgivning og facilitering af jeres proces efter mødet. Herefter kan I tage stilling til, om I vil løse opgaven selv, eller I vil bruge mig som sparringsperson på opgaven.

Skal vi fortsætte processen sammen, kan forløbet se sådan her ud:

1. De ansvarlige for jeres certificering og jeg indleder med et opstartsmøde. Her får vi styr på, hvilke processer vi skal beskrive, og hvilke processer der skal etableres helt fra start. Vi laver en GAP -analyse og aftaler også, hvem der skal gøre hvad, og hvornår de forskellige opgaver og delopgaver skal være løst.

I forbindelse med opstarten holder vi også et informationsmøde med relevante medarbejdere, så de er orienteret om, hvad der sker i virksomheden, og hvad deres rolle vil blive

2. Herefter arbejder alle med de planlagte opgaver. Hvis I ønsker det, kan jeg også etablere eller beskrive nogle af processerne

3. Når alle processerne er beskrevet og ledelsessystemet er færdigt, holder vi intern audit. Det sker typisk 3-4 måneder efter opstartsmødet. Intern audit er en generalprøve på, om ledelsessystemet reelt er en beskrivelse af det, I gør omkring informationssikkerhed. Samtidig sikrer vi, at I lever op til de formelle krav i ISO 27001, så vi er velforberedte til certificeringsaudit

4. Certificeringsaudit er den store eksamen, hvor I skal dokumentere overfor certificeringsorganet, at I er berettiget til certificeringen.

Auditten er delt i 2, og jeg deltager i dem begge, så jeg kan træde til, hvis der mod forventning skulle være spørgsmål, I ikke kan svare på:

A. Trin 1, hvor certificeringsorganet tjekker, at alle jeres procedurer lever op til kravene for ISO 27001. Hvis der er mindre afvigelser, kan I justere dem med det samme

B. Trin 2, hvor certificeringsorganet undersøger, at procedurerne også i praksis stemmer overens med den praktiske håndtering.

Når I får jeres ISO 27001-certifikat, gælder det i tre år. Hvert år skal I holde en intern audit, hvor I følger op på, at procedurerne fortsat fungerer, som de skal, og at alle følger dem. Der kunne også have vist sig at være områder, som virksomheden med fordel kan forbedre. De fleste af mine kunder foretrækker, at jeg også deltager her, men I kan godt holde denne audit uden mig. Derudover skal ledelsen evaluere systemet mindst en gang årligt, men det er jo bare en måde at sikre virksomhedens investering på.

Min ISO-baggrund

Min ekspertise som ISO-specialist stammer helt tilbage fra 2003.

Dengang arbejdede jeg i Dansk Design Center og satte mig grundigt ind i, hvordan virksomhederne i den branche skulle forholde sig til ISO. Og jeg opdagede på nært hold, at mange virksomheder både havde brug for rådgivning for at kunne tage stilling til, hvornår det ville være relevant for dem med en ISO-certificering og efterfølgende i forbindelse med selve certificeringsarbejdet.

Siden har jeg beskæftiget mig med ISO-ledelsessystemer. I dag arbejder jeg både med ISO 9001, 14001 og 45001 og tager selvfølgelig alle relevante ISO-kurser, så min viden altid er opdateret.

Har du spørgsmål, eller vil du aftale et møde?

Hvad koster ISO 27001?

Prisen for min rådgivning, mens I bliver ISO 27001-certificeret, varierer efter, hvor stor jeres virksomhed er, hvor godt I tidligere har arbejdet med informationssikkerhed og GDPR samt kompleksiteten i de procedurer, I skal have etableret og beskrevet.

I kan tage udgangspunkt i de her prisestimater, som vil dække behovet for de fleste virksomheder, under forudsætning af, at én af jeres medarbejdere er ansvarlig for processen, og at jeg kan holde alle møder på én adresse.

1-10 fuldtidsansatte:
Kr. 65.000 for rådgivning og 3 certificeringsdage

11-25 fuldtidsansatte:
Kr. 65.000 for rådgivning 4 certificeringsdage (trin 2 tager ofte længere tid i større virksomheder)

26 fuldtidsansatte og opefter:
Fra kr. 75.000

Hertil kommer transportudgifter efter Statens takster.

Er I interesserede i min assistance, får I en præcis pris på opgaven efter det første indledende møde.

I de nævnte estimater er udelukkende rådgivning gennem processen til og med certificeringsauditten. Mange virksomheder tilkøber desuden min assistance til at gennemskrive udvalgte processer. I kan vente med at tage stilling til, om I ønsker dette, til det eventuelt bliver relevant.

Udover min assistance skal I også betale 15.-16.000 kroner dagligt til certificeringsorganet for at gennemføre certificeringen.

Alle priser er ekskl. moms.

Design Business Group
v. Lars Rygaard
CVR nr. 26807255
Buddingevej  21 b, DK-2800 Lyngby
Tel. +45 20 16 58 06
Email: lry@d-b-g.dk

Cookie- og privatlivspolitik