Hvad er sammenhængen mellem ISO27001 og GDPR (Persondataforordningen)?

Sådan sikrer du, at jeres IT-sikkerhed lever op til kravene i persondataforordningen.

Hvorfor er det vigtigt?

I denne artikel vil jeg beskrive, hvordan du kan sikre at jeres organisations it-sikkerhed lever op til kravene i persondataforordningen (også kaldet persondataloven eller GDPR).  

Når du har læst denne artikel, vil du selv være i stand til at påbegynde eller fortsætte jeres arbejde med at få etableret de sikkerhedstiltag, som skal til for at leve op til de nye regler. 

Der vil være fokus på de indledende processer omkring risikovurdering. 

Artiklen er delt op i følgende dele: 

  • Kort introduktion til persondataforordningen ift. it-sikkerhedskrav
  • Det direkte link mellem persondataforordningen og it-sikkerhedsstandarden ISO27001
  • Gennemgang af Datatilsynets vejledning i behandlingssikkerhed  
  • Uddybende forklaring af ISO27001  
  • Risikovurdering  
  • Den traditionelle metode kendt fra ISO27001
  • Persondata” metode fra persondataforordningen/Datatilsynet  
  • Eksempler på aktiviteter og tiltag, som kan være relevante for jer ift. at opnå det nødvendige it-sikkerhedsniveau  

Hvordan hænger persondata sammen med IT-sikkerhed?

Persondataloven, Persondataforordningen eller GDPR – kært barn har mange navne…. Det korrekte navn er dog persondataforordningen, som trådte i kraft maj 2018 og afløste den tidligere persondatalov. GDPR er blot en forkortelse af den engelske oversættelse – General Data Protection Regulation. 

Persondataforordningen drejer sig grundlæggende om at organisationer, som behandler persondata i Europa, skal leve op til en række regler, således at borgerne kan føle sig sikre på, at deres personlige data ikke bliver misbrugt, lækket eller på anden måde behandlet på en måde, som ikke er i deres interesse. 

Persondataforordningen gælder både det fysiske og det digitale, men fordi der de seneste år er så mange organisationer, som netop behandler persondata i digitale systemer, så har den ”digitale” del af persondataforordningen fyldt det meste fra start – og med god grund. 

Og når man snakker beskyttelse af data i det digitale, så snakker man jo it-sikkerhed. Derfor har der været en klar sammenhæng mellem organisationers arbejde med it-sikkerhed og deres evne til at leve op til de nye regler.  

I denne artikel vil jeg gå mere i dybden med hvordan persondataforordningen stiller krav til organisationers it-sikkerhed og hvordan organisationer jf. de nye regler skal gå til opgaven med at sikre, at man lever op til reglerne. 

Heldigvis – har forfatterne til persondataforordningen ikke genopfundet den dybe tallerken ift. it-sikkerhed i forbindelse med persondataforordningen. De har derimod søgt stor inspiration fra de eksisterende standarder, som fastsætter rammerne for god praksis indenfor arbejdet med it-sikkerhed. Her har man kigget imod informationssikkerhedsstandarden ISO27001, som i mange år har været den mest anvendte og anerkendte standard indenfor dette område. 

Derudover har Datatilsynet været så behjælpelige at lave en vejledning i ”behandlingssikkerhed”, som også viser konkrete metoder til hvordan arbejdet kan tilrettelægges. Her er der også direkte henvisninger til ISO27001. 

Jeg vil derfor i denne artikel forsøge at vise hvordan persondataforordningen og ISO27001 smelter sammen og hvordan man helt praktisk kan gå til værks i arbejdet med implementering af it-sikkerhed. 

Hvad er det direkte link mellem persondataforordningen og IT-sikkerhedsstandarden ISO27001?

Som det første vil jeg dog gerne vise hvordan der er et direkte link mellem persondataforordningen og ISO27001. Dette ses i formuleringen af sikkerhedskrav og sikkerhedsforanstaltninger i lovteksten i persondataforordningen. 

Der er tydelige link mellem de to: 

Der er således ikke nogen tvivl om at it-sikkerhed og persondataforordningen hænger sammen. Lad os nu dykke dybere i hvordan man konkret griber opgaven an med at få etableret det nødvendige it-sikkerhedsniveau for at leve op til kravene.  

Hvad siger Datatilsynets vejledning i behandlingssikkerhed? 

I juni 2018 udgav Datatilsynet deres vejledning til danske organisationer i behandlingssikkerhed. Dette er en stor hjælp for danske organisationer, da denne vejledning netop forsøger at gøre de mere ”overordnede principper for sikkerhedskrav og sikkerhedsforanstaltninger til mere konkrete tiltag, som man kan forholde sig til. Derudover stilles der mere skarpt ind på forventningen til selve processen for arbejdet med it-sikkerhed, hvilket igen trækker tråde til ISO27001. 

Lad os kigge nærmere på hvad der står i vejledningen – https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf 

Behandlings

Først og fremmest gøres det klart i vejledningen at man skal tage udgangspunkt i en ”risikobaseret tilgang”. Dette kommer vi også tilbage til under ISO27001.  

Denne risikobaserede tænkning kendetegnes ved implementeringen af processer, der tager højde for løbende identifikation af både risici og muligheder samt den efterfølgende overvågning, måling, evaluering og analyse af disse. 

Datatilsynet gør det altså klart i vejledningen, at processen for arbejdet med behandlingssikkerhed (it-sikkerhed) skal følge følgende steps: 

Vurdering af risici  passende tekniske og organisatoriske foranstaltninger  overvågning, måling – evaluering og analyse. 

Vi kommer senere tilbage til hvordan man helt konkret kommer i gang med de ovenstående steps. Men først kan vi tage et kig på hvordan ISO27001 lægger op til samme præcis samme proces, nemlig igennem:  

Plan  Do  Check  Act 

Hvad siger ISO27001?

 ISO27001 er en anerkendt international standard, som bruges i arbejdet med informationssikkerhed. ISO27001 er den mest anvendte standard i Europa og derfor har det også været oplagt for lovgiverne at kigge på denne standard, når man har skullet definere sikkerhedskrav og foranstaltninger i både persondataloven (den tidligere lov) og persondataforordningen (den nuværende lov). 

ISO27001 er delt op i fire overordnede steps: 

Plan – risikovurdering 

Do – Implementering af tiltag 

Check – Måling af de implementerede tiltag 

Act – Evaluering og tilretning af tiltag 

Som beskrevet ovenfor, så er det præcis samme proces, som Datatilsynet ligger op til i deres vejledning i behandlingssikkerhed. 

Helt grundlæggende, så definerer ISO27001 den kontinuerlige proces med arbejdet med it-sikkerhed. Den fungerer ikke som en tjekliste, men lister dog en række områder, som er relevante at tage højde for. Men kernen i ISO27001 er, at man altid skal arbejde ud fra en risiko-baseret tilgang – dvs. vi skal kun implementere de tiltag, som er relevante for os ift. de risici, som vi har. 

ISO27001 lister dog en række områder, hvor der er inspiration til hvordan man kunne arbejde med tingene, hvis det er relevant for ens egen organisation.  

Disse områder er defineret i Bilag a til ISO27001: 

  • Information Security Policies 
  • Organization of Information Security 
  • Human Resource Security 
  • Asset Management 
  • Access Control 
  • Cryptography 
  • Physical and Environmental Security 
  • Operations Security 
  • Communications Security 
  • System Acquisition, Development and Maintenance 
  • Supplier Relationships 
  • Information Security Incident Management 
  • Information Security Aspects of Business Continuity Management 
  • Compliance 

 

Man kan arbejde med ISO27001 på forskellige niveauer: 

  1. Man kan følge standarden – dvs. at man blot selv står inde for at man har implementeret processerne og tiltagene 
  1. Man kan få en revisionserklæring – ISAE3402 på at man følger standarden – det betyder, at man har fået en revisor til at gennemgå ens setup og indestå for at man følger processerne og har de relevante tiltag implementeret. 
  1. Man kan blive ISO-certificeret – hvilket betyder at man får en autoriseret ISO-auditør til at at tjekke hele ens setup og sikrer at alt følger ISO-standarden fra A-Z. Dette er enormt omfattende og kun meget få organisationer vælger at gøre dette. 

Der er dog som udgangspunkt ikke noget krav til certificeringer i persondataforordningen. Men det kan være relevant overfor eksterne samarbejdspartnere og kunder. 

Du kan læse mere om de forskellige typer af certificeringer her. 

 

Efter denne introduktion til Datatilsynets vejledning i behandlingssikkerhed og ISO27001 er det nu relevant at kigge nærmere på selve processen omkring risikovurdering. 

Hvad siger ISO27001?

Lad os først starte med at definere risiko: 

Risiko er altså sandsynligheden for at en specifik begivenhed forekommer sammenholdt med konsekvensen hvis en specifik begivenhed forekommer. Det er således vigtigt altid at have begge aspekter med – sandsynlighed og konsekvens. 

Risikovurderingen er den proces, som man gennemgår for at identificere de relevante risici, som er tilstede i netop jeres organisation. Man kan således godt søge inspiration fra andre organisationer, men man skal altid lave risikovurdering med udgangspunkt i egne forhold. 

Ofte vil man gennemføre en risikovurdering på et møde eller workshop, hvor de relevante stakeholdere fra organisationen er til stede 

Målet er at kunne udfylde en risikomatrix som denne: 

Når man har udfyldt risikomatrixen, er det nemt at vurdere, hvor man skal prioritere sine tiltag – det skal man selvfølgelig gøre hvis der er risici i de røde felter, og dernæst de gule. 

Det er vigtigt at være opmærksom på at der ift. ISO27001 og persondataforordningen er en vigtig forskel, som man skal tage hensyn til ift. processen for risikovurdering. 

Den traditionelle metode for risikovurdering, som man kender fra ISO27001, tager udgangspunkt i konsekvenserne for organisationenaltså hvilke økonomiske, omdømmemæssige, markedsmæssige, juridiske etc. konsekvenser, som en givende begivenhed for opleve. 

 

I den I Datatilsynets vejledning lægges der op til at man tager udgangspunkt i konsekvensen for den registrerede – altså den enkelte person – ikke organisationen. 

Dette er vigtigt at have for øje når man laver sin risikovurdering. 

Risikovurderingen for organisationen laver man således for at identificere hvilke risici, som kan have en afgørende betydning for organisationen fremtidige liv. Dette er en værdifuld øvelse at gennemføre, da det ofte giver en række åbenbaringer. Det giver ofte også anledning til at man identificerer en række områder, hvor relativt simple tiltag kan reducere meget risiko. 

Risikovurderingen for den registrerede laver man for at sikre at man lever op til reglerne og for at sikre at ens behandling af persondata ikke udgør en væsentlig risiko for de personer, hvis data man behandler. Hvis dette er tilfældet og der forekommer sikkerhedsbrud, så kan man blive ramt af hårde bødestraffe, hvilket derigennem kan true organisationens fremtidige liv. 

Datatilsynet har lavet en liste over konsekvenser, som man bør overveje i sin risikovurdering: 

  • Fysisk skade 
  • Materiel skade 
  • Immateriel skade 
  • Forskelsbehandling 
  • Identitetstyveri 
  • Identitetssvig 
  • Økonomisk konsekvenser  
  • Skade på omdømme 
  • Sociale konsekvenser 
  • Indflydelse på privatliv 
  • Skade på menneskelig værdighed 
  • Skade på legitime interesser 
  • Begrænsning/krænkelse af fundamentale rettigheder og frihedsrettigheder 
  • Forhindring i udøvelse af kontrol med egne personoplysninger 

 

Derudover har de beskrevet hvordan man bør vurdere påvirkningsgraden: 

 

For at få både perspektivet for både organisationen og for den registrerede bør man derfor lave to risikovurderinger – en for organisationen og en for den registrerede. 

Se datatilsynets vejledning for en gennemgang af en risikovurdering, hvor der tages udgangspunkt i den registrerede – https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf 

I denne artikel vil vi vise en risikovurdering, som tager udgangspunkt i en organisation. 

Denne risikovurdering tager udgangspunkt i konsekvensen for organisationen og baseres på organisationens aktiver eller processer. 

Risikovurderingen gennemføres ved at udfylde nedenstående skema: 

Definitioner: 

Aktiv/proces: Jeres fysiske eller digitale aktiver eller processer – f.eks. servere, data eller salgsproces, markedsføringsproces. Ofte er det bedst at tage udgangspunkt i enten aktiver eller processer. I det videre vil der blive taget udgangspunkt i aktiver. 

TrusselDen relevante trussel, som kan ramme det pågældende aktiv. Det kan f.eks. være ransomware, nedbrud, phishing-angreb eller uautoriseret adgang til data. Trussel beskriver således ”hvad” der kan ske. 

Sårbarhed: Her er det målet at identificere, ”hvorfor” en trussel kan ramme det pågældende aktiv. Der er således en sammenhæng mellem trussel og sårbarhed. Hvad” (trussel) kan der ske og hvorfor” (sårbarhed) kan det ske. Relevante sårbarheder kan være: ikke-opdaterede systemer, manglende redundans, ikke-opmærksomme/trænede medarbejdere,  manglende adgangskontroller etc. 

SandsynlighedHvad er den vurderede sandsynlighed for at en specifik begivenhed forekommer. Jo mere sårbarheder og trussel – jo hørere sandsynlighed 

Konsekvens: Hvad er den vurderede konsekvens for at en specifik begivenhed forekommer. Jo mere alvorlige sårbarheder og trussel + plus jo mere kritiske/værdifulde det pågældende aktiv [Symbol] jo højere konsekvens. 

Øvelsen er således herfra at liste organisationens relevante aktiver og så arbejde sig igennem en for en. 

Se nedenfor udfyldt skema med eksempler på hvordan det kunne se ud for en given organisation.  

Dette er naturligvis kun få af organisationens aktiver, som i en virkelig case ville være meget længere. Men det viser den anvendte metodik.  

Hernæst er det muligt at udfylde risikomatrixen for at få overblikket over prioritering:

Det sidste step i ”Plan”-fasen er således at planlægge de tiltag, som skal adressere de risici, som skal håndteres.  Som det ses ovenfor, er der i dette tilfælde to aktiver, som befinder sig i de røde felter – medarbejdere og server. Derfor bør man som minimum forsøge at implementere tiltag, som kan reducere risikoen for disse to aktiver. 

Det er herefter vigtigt at man får dokumenteret hvilket tiltag, som man ønsker at implementere og får udpeget en ansvarlig for implementeringen. I dette tilfælde kunne en sådan actionliste se således ud: 

Vi ser ofte, at netop medarbejdere udgår en væsentlig risiko både ift. den generelle it-sikkerhed, men også ift. overholdelse af reglerne i persondataforordningen. 

Vi har derfor udarbejdet en guide til hvordan du kommer i gang med at træne dine medarbejdere i it-sikkerhed og persondataforordningen. I guiden får du gratis adgang til en række skabeloner og værktøjer, som du kan bruge i jeres organisation.

Hvad har vi gennemgået? 

  • Der er en klar sammenhæng mellem it-sikkerhed og persondataforordningen 
  • Datatilsynets vejledning i behandlingssikkerhed lægger op til samme proces som ISO27001: Plan, Do, Check og Act 
  • Nøgleordet er risikovurdering – start derfor altid her 
  • Husk at der er forskel mellem risikovurdering for it-sikkerhed og persondata 
  • Lav begge og sikr derved det fulde overblik 
  • Medarbejderne er altid en risiko – læs mere her 
Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Få besked når vi udgiver nye artikler

Certificering i it-sikkerhed for organisationer: Revisionserklæring (ISAE3402) eller ISO-certificering?

Indledning

Mange organisationer oplever at der bliver stillet krav til deres arbejde med it-sikkerhed. Det er ofte fra eksterne samarbejdspartnere eller kunder, som ”kræver” at jeres organisation kan leve op til kravene eller er certificeret i ”ISO27001” eller lignende. 

 

Formålet med denne blog er at afdække forskellige muligheder for certificering inden for IT-sikkerhed. Dernæst er det formålet at skabe et overblik over de opgaver, som er forbundet med etablering af en it-sikkerhedscertificering. 

 

Sidst men ikke mindst er det formålet vise de videre skridt imod implementering og egentlig udarbejdelse af certificering. 

 

Afdækning af forskellige typer for certificering omhandler følgende: 

 

  • ISO-certificering eller revisionserklæring (ISAE 3402 erklæring)?

  • Type-1 eller type-2 (ift. revisionserklæring)? 

  • Anvendt standard: ISO27001 eller ISO27002? 

 

En ”typisk køreplan” for at etablere en revisionserklæring: 

 

  • Afstemning af revisionserklæringsomfang med udvalgte kunder og samarbejdspartnere.

  • Formålet er at sikre, at disse samarbejdspartnere accepterer det tiltænkte erklæringsniveau.

  • Indled dialog med revision for at få estimeret omkostningsniveau for deres udarbejdelse af revisionserklæring

  • Endelig intern beslutning omkring valg af revisionserklæringstype og valg af standard 

  • Udarbejdelse af dokumentation, herunder IT-sikkerhedspolitik, IT-sikkerhedshåndbog og relevante retningslinjer og politikker 

  • Aftale med revision omkring udarbejdelse af revisionserklæring 

  • Implementering af nye tiltag/processer 

  • Udarbejdelse af selve revisionserklæring (type-1) 

  • Drift af det nye ledelsessystem i 6-12 måneder 

  • Evt. udarbejdelse af revisionserklæring (type-2) 

Indhold

  1. Indledning
  2. Hvorfor arbejde med certificering som ISO27001 eller ISAE 3402 revisionserklæringer?
  3. Certificering, erklæring eller ej?
  4. ISO-certificering eller ISAE 3402 revisionserklæringer?
  5. ISO27001 eller ISO27002?
  6. Hvad er ISO27001?
  7. Hvad er ISO27002?
  8. ISO27001 vs. ISO27002?
  9. Type-1 vs. type-2?
  10. Hvilken form for erklæring bør du arbejde med?
  11. Forventede opgaver
  12. Opgaver forbundet med at etablere ISAE 3402 erklæring – type 1 ift. ISO27002
  13. Forventede ekstraopgave for at udvide fra type-1 til type-2 erklæring
  14. Forventede esktraopgave for at udvide fra ISO27002 til ISO27001
  15. Hvordan ser en projektplan for en organisation der vil være certificeret i IT-sikkerhed ud?​​

Hvorfor arbejde med certificering som ISO27001 eller ISAE 3402 revisionserklæringer?

Det overordnede formål med denne blog er at skabe et overblik omkring at opnå certificering eller revisionserklæring op imod ISO27001/2.  

 

Baggrunden for at udarbejde dette notat er, at vi her hos CyberPilot i stigende omfang oplever, at vores kunder bliver mødt af eksterne samarbejdspartneres og klienters krav til deres IT-sikkerhed og specifikt spørger til certificering eller revisionserklæring på området. 

 

Denne blog vil hjælpe dig til at forstå forskellene imellem de forskellige certificeringer og erklæringer. Det kan hjælpe dig til at forstå om I skal arbejde mod certificering elle ej. Derudover vil du være i stand til at planlægge jeres egen proces, hvis det er relevant for jer. 

 

Disse certificeringer og erklæringer er en måde at vise overfor eksterne partnere, at I lever op til god praksis indenfor IT-sikkerhed og at ”I har styr på jeres ting”. 

 

Nogle gange bliver erklæringerne brugt i markedsføringen og andre er det helt konkrete krav fremsat af samarbejdspartnere, som gør det nødvendigt at arbejde med. Det kan f.eks. være i databehandleraftaler eller lignende. 

 

Det er et komplekst område, hvor det er nødvendigt at være helt skarp på de forskellige definitioner og forhold for at kunne tage den rette beslutning. 

 

Hvor skal I starte, hvis I som organisation vil certificeres i IT-sikkerhed – f.eks. ISO27001?

Inden selve arbejdet mod en certificering eller revisionserklæring sættes i gang, er der først og fremmest et behov for at afstemme det præcise omfang, hvilket kan brydes ned i følgende parametre: 

 

  • Certificering eller ej?

  • Hvilken type certificering skal I arbejde imod? 

  • ISO-certificering eller en ISAE 3402-revisionserklæring?
     
  • ISO27001 eller ISO27002?

  • Type-1 eller type-2-erklæring (dvs. uden eller med kontroller)? 

  • Anbefalinger ift. certificering/erklæring, ISO27001/2 og type-1/2. 

  • Hvad er de forventede opgaver for de forskellige typer certificeringer/erklæringer? 
 
 

Certificering, erklæring eller ej?

Det første step er naturligvis at afklare om det overhovedet er en prioritet for jeres organisation at blive certificeret eller få en revisionserklæring eller ej?  

 

Baggrunden for at blive certificeret er ofte en af følgende: 

 

  • Lovkrav 

  • Krav fra eksterne samarbejdspartnere (ofte kunder) 

  • Krav fra bestyrelse/ejere 
 

 

Arbejdet med at blive certificeret eller få etableret en revisionserklæring kræver ressourcer og derfor er det vigtigt, at I har afdækket det faktiske behov inden I går i gang.  

 

Det er dog vores erfaring, at processen imod en certificering/erklæring ofte er en rigtig sund proces for de fleste organisationer, da det tvinger dem til at overveje alle relevante aspekter af deres egen it-sikkerhed. Det betyder ofte, at I bliver opmærksom på forhold, som I normalt ikke ville få adresseret uden kravet om certificering/erklæring, men som skabet værdi for jeres organisationen på den lange bane. 

 

ISO-certificering eller ISAE 3402-revisionserklæring?

Som det næste bør det afklares, hvorvidt der er behov for en fuld ISO-certificering eller om I kan ”nøjes” med den mere simple (og mindre omkostningstunge) revisionserklæring. 

 

En fuld ISO-certificering stiller krav til et fuldt implementeret ledelsessystem, som er dokumenteret og som efterleves dagligt. Der stilles således store krav til både implementering, drift samt indledende og fortløbende certificeringsproces. Certificeringsprocessen omfatter en fuld gennemgang af alle processer og dokumentation. 

 

En ISAE 3402-erklæring er en revisionserklæring på, at en given organisation efterlever en specifik standard. Der stilles således stadig krav til både dokumentation og daglig drift, men i væsentlig mindre omfang end ved en fuld ISO-certificering. Dette ses også i selve certificeringsprocessen, som for revisionserklæring består af stikprøver og interviews.  

 

Ressourceforbrug (omkostningen) mellem fuld ISO-certificering og revisionserklæring vil i sagens natur variere fra organisation til organisation, afhængig af en række parametre som omfang af scope, modenhed af organisationen ift. IT-sikkerhed, interne ressourcer, kompetencer osv. Som udgangspunkt skal det dog forventes, at ressourcerne (og derved også omkostningen) til fuld ISO-certificering vs. revisionserklæring udgør en faktor 4-5 både – før, under og efter.  

 

Det er desuden vigtigt at være opmærksom på, at den fulde ISO-certificering kun i meget begrænset omfang anvendes i Danmark i dag. Langt oftere ser man anvendelsen af revisionserklæringer. Dette kan ses som et udtryk for, at ”markedet” ofte accepterer disse revisionserklæringer. 

 

Det er således CyberPilots anbefaling og vurdering, at en ISAE 3402 erklæring ofte vil være det rigtige valg for langt de fleste af stræbe imod. Dette skyldes følgende: 

 

  • Meromkostningen før, under og efter en fuld ISO-certificeringsproces forventes at overstige den merværdi, der opnås ved en fuld certificering frem for en revisionserklæring. 

  • Hvis I senere ønsker at ”opgradere” til den fulde ISO-certificering, vil revisionserklæringen under alle omstændigheder fungerer som et godt udgangspunkt. 

ISO27001 eller ISO27002?

Det er vigtigt at være opmærksom på, at der skelnes mellem hhv. ISO27001 og ISO27002, som reelt er to forskellige standarder. Standarderne er dog meget nært beslægtede og er begge anerkendte til netop det formål at implementere rammer for informationssikkerhed. 

 

Nedenfor vil vi kort beskrive de to standarder og forskellen mellem de to, for derefter at vurdere det bedste valg for ”den typiske danske organisation”. 

 

 

 

Hvad er ISO27001? 

 

ISO27001 definerer rammeværket for processen omkring arbejdet med informationssikkerhed. Standarden ligner andre lignende standarder, som kendes fra f.eks. kvalitetssikring i industrivirksomheder, hvor hovedformålet er, at arbejdet bliver en løbende proces og ikke en engangsforestilling. Der er således fokus på den kontinuerlige proces og løbende forbedringer.  

 

Man kan opsummere ISO27001 som værende en proces, der omfatter følgende faser: Plan, Do, Check og Act 

 

Se figur nedenfor:

Den grundlæggende metodik i ISO27001 er, at der anvendes en risikobaseret tilgang. Der stilles således ikke specifikke krav til, at en organisation lever op til krav X, Y, Z etc. Der stilles derimod krav til, at der implementeres passende tekniske og organisatoriske tiltag. Det er således op til den enkelte organisation at vurdere, hvad disse passende tiltag er. Nøglen her er ”risikovurderingen”. 

 

Derudover består ISO27001 af ”Anneks A”, som definerer 18 enkeltvise områder inden for IT-sikkerhed, man bør arbejde med, bl.a..: 

 

  • Etc. 

Anneks A er således en implementeringsguide til ”best practice”-forhold inden for de enkelte områder.  

 

 Hvad er ISO27002? 

 

ISO27002 består reelt kun af Anneks A fra ISO27001. ”Plan-Do-Check-Act”-delen indgår altså ikke i ISO27002. 

 

Det vil sige, at ISO27002 er fokuseret på de definerede områder og selve implementeringen af tiltag, hvorimod ISO27001 også omfatter retningslinjer til selve processen for arbejdet. 

 

ISO27002 er således mindre omfattende end ISO27001. 

 

ISO27002 stiller, ligesom ISO27001, ikke krav til, at organisationerne opfylder krav X, Y, Z etc. Her skal igen anvendes en risikobaseret metode, hvor der tages stilling til, hvad der er passende for den enkelte organisation.  

ISO27001 vs. ISO27002? 

 

Eksterne samarbejdspartnere vil typisk ikke have klare holdninger til, om der anvendes ISO27001 eller ISO27002. Ofte anvendes en formulering som f.eks. ”anerkendt ISO-standard inden for informationssikkerhed”. 

 

Det er derfor CyberPilots vurdering og anbefaling, at ofte bør forsøge at arbejde mod at følge ISO27002, da dette er mindre omfattende end ISO27001. Hvis I senere ønsker at udvide til at følge ISO27001, vil arbejdet med ISO27002 tjene som et godt fundament. 

 

Type-1 eller type-2?

En ISAE 3402-erklæring kan være enten af type1 eller type2.  

 

Hvad er en type-1-erklæring? 

 

En type1-erklæring omfatter en gennemgang af dokumentationen, dog uden egentlig kontrol af selve implementeringen. En type-1-erklæring er således udtryk for et øjebliksbillede på en given dato. 

 

Omkostningen til en type-1-erklæring består af to dele: 

 

  • Den interne forberedelse, implementering og dokumentation 

  • Gennemgang, udarbejdelse og løbende vedligeholdelse af erklæring – denne opgave skal varetages af en autoriseret it-revisor. 

  • Kan variere fra revisionshus til revisionshus. Estimat: 100.000 dkk 

 

Hvad er en type-2-erklæring? 

 

En type-2-erklæring består af en gennemgang af både dokumentation og kontrol af den faktisk implementering – typisk vil denne kontrol være i form af stikprøver og gennemgang af dokumentation, systemer osv. En type-2-erklæring dækker typisk en periode på 6 eller 12 måneder, og giver således et billede af situationen i hele perioden – på samme vis som et årsregnskab. 

 

En type-2erklæring er således mere omfattende end en type-1. 

 

Omkostningen til type-1-erklæring består af tre dele: 

 

  • Den interne forberedelseimplemetering og dokumentation 

  • Det løbende arbejde med at overholde/dokumentere kontrollerne 

  • Gennemgang, udarbejdelse og løbende vedligeholdelse af erklæring 

  • Kan variere fra revisionshus til revisionshus. Estimat: 150.000-200.000 dkk 
 

 

Type-1 vs. type-2? 

 

Eksterne samarbejdspartnere vil typisk stille krav om en revisionserklæring, men det vil ofte ikke være specifikt angivet, hvorvidt denne erklæring skal være af type-1 eller type-2.  

 

Ofte ses det desuden, at man først udarbejder en type-1-erklæring, for derefter at udvide denne til en type-2.  

 

Erfaringen viser, at ved først at arbejde imod en type-1-erklæring og derefter ”opgradere” til type-2, har mulighed for at modne organisationens dokumenter og processer, før man når til type-2-erklæringen. Hvis I derimod går direkte til en type-2-erklæring, risikerer I, at der kommer anmærkninger i revisionserklæringerne, hvis dokumentationen og kontrollerne ikke lever op til revisorkravene, da der jo erklæres inden for en given periode. Ved en type-1-erklæring er der således bedre mulighed for at sætte processen på ”pause”, tilrette dokumentation og processer, og derefter gentage processen. 

 

En anden fordel ved at gå efter en type-1-erklæring først er, at I i løbet af relativt kort tid kan få udarbejdet revisionserklæring. Type-1 stiller ikke krav om, at I kan påvise dokumentationen over en længere periode, som det er tilfældet med en type-2. 

 

En væsentlig del af beslutningen omkring at vælge type-1 vs. type-2 afhænger af den omkostning, som skal allokeres til den eksterne part – revisorDet vil derfor være relevant at afstemme det faktiske omkostningsniveau med netop revisor.  

 

Under alle omstændigheder vil der dog være lavere omkostninger fra revisors side ift. at udarbejde en type-1 vs. type-2-erklæring. 

 

Det er således CyberPilot vurdering og anbefaling, at I i langt de fleste tilfælde først arbejder imod en type-1-erklæring og dernæst udvider til en type2. 

 

Dette giver følgende fordele: 

 

  • Omkostningen for en revisor til en type-1-erklæring er mindre end til en type2 (ca. faktor 1,5-2). 

  • I får mulighed for at ”modne organisationens processer og dokumentation og opnå en revisionserklæring uden anmærkninger. 

  • I opnår hurtigt en erklæring. Hvis I går efter en type-2, vil det tage en periode på ca. 3-6 måneder, hvor I skal være i drift, inden erklæringen kan udarbejdes. 

  • Mange eksterne samarbejdspartnere vil ikke stille specifikt krav til type-2 ift. type-1, og derfor vil I i de fleste tilfælde kunne ”nøjes” med en type-1. 
 

Hvilken form for erklæring bør du arbejde imod?

Jf. ovenstående argumentation, er det CyberPilots vurdering og anbefaling, at du i de fleste tilfælde arbejder imod følgende: 

 

ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

Dette vil efter vores vurdering være tilstrækkeligt over for langt de fleste kunder og samarbejdspartnere. I tilfælde, hvor der stilles strengere krav, vil det sandsynligvis være noget, som kan forhandles. 

 

Det anbefales ALTID, at du tager kontakt til de kunder og samarbejdspartnere, som stiller krav og afstemmer, inden du går i gang med selve arbejdet med erklæringen. 

 

 

Hvad er de forventede opgaver?

Enhver beslutning omkring udarbejdelse af certificeringer eller revisionserklæringer skal naturligvis afvejes ift. de opgaver, som det medfører. Kun igennem et indblik i de forbundne opgaver, kan beslutninger omkring et bestemt certificerings/erklæringsniveau tages. 

 

Som nævnt ovenfor, kan det være vanskeligt at redegøre præcis hvilke opgvaer, der er forbundet med at implementere, vedligeholde og opretholde certificeringen/erklæringen, da det vil være forskelligt fra organisation til organisation. 

 

Vi vil dog forsøge at give et bud ud fra den typiske situation. 

 

Estimatet vil tage udgangspunkt i det erklæringsniveau (som også er det anbefalede for de fleste organisationer, som tager hul på denne opgave):  

 

ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

Herefter vil det blive estimeret hvilke opgaver, der er forbundet med ”opgraderingen” til hhv. type-2 og ISO27001. 

 

 

 

 

Opgaver forbundet at etablere ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

En erklæring vil typisk tage udgangspunkt i følgende dokumenter, som skal udarbejdes og gennemgås af revisor: 

 

  • Overordnet IT-sikkerhedspolitik (statement fra ledelsen), som indeholder målsætninger og ansvar.

     

  • Dokumentation af risikovurdering – dokumentation af, at denne proces er gennemført og godkendt af ledelsen.

     

  • IT-sikkerhedshåndbog, som beskriver overordnet proces og tiltag (ikke på procedure-niveau). Håndbogen følger kapitlerne i ISO27002. IT-sikkerhedshåndbogen er således dokumentation af de tiltag, som er implementeret for at håndtere informationssikkerheden. Det er et dokument til anvendelse i IT-afdelingen og til revisionen, ikke til den generelle medarbejderstab.

     

  • Diverse politikker, retningslinjer og procedurer inden for de specifikke kapitler i IT-sikkerhedshåndbogen – f.eks. en beredskabsplan, retningslinjer for medarbejdere osv.  
 
 

 

Det er således denne dokumentation, der skal være på plads, inden selve erklæringen kan udarbejdes af revisorDette er i stor udstrækning samme dokumentation, uanset om I vælger type-1 eller type-2. 

 

Gennem for-analyse og risikovurdering af de eksisterende tiltag og modenhed af jeres informationssikkerhed (som kan gennemføres gennem workshops), er det muligt at estimere en væsentlig del af de forventede omkostninger for netop jeres projekt.  

 

Da ISO27002 netop tager udgangspunkt i en risikobaseret tilgang, vil det endvidere være relevant at se på konklusionerne fra risikovurderingen, og vurdere hvilke nye indsatser, der skal implementeres for at nå et acceptabelt risikoniveau. 

 

 

  Forventede ekstraopgave for at udvide fra type-1 til type-2-erklæring 

 

Ekstraopgaver: 

 

  • Forarbejde: tilrettelæggelse og beskrivelse af kontroller

     

  • Løbende kontrol og dokumentation af aktiviteter (intern tid skal allokeres).

     

  • Omkostning til revisionserklæring – estimat: faktor 1,5 til 2 ift. type-1.
     

Der skal således forventes en væsentlig yderligere tid til opgaverbåde ift. forarbejde, løbende kontroller og en udvidet omkostning til revisor. Det skal desuden noteres, at der er risiko for, at revisor vil have indvending imod de implementerede kontroller, hvilket kan give anmærkninger i revisionserklæringen. 

 

Det anbefales dog, at I allerede ved etablering af samarbejdet omkring type-1-erklæringen indleder dialogen omkring fremtidigt ønske, om at få udarbejdet en type-2-erklæring.  

 

Igennem arbejdet med type-1-erklæringen vil det blive mere tydeligt hvilke yderligere tiltag og kontroller, der skal implementeres for at kunne opnå en type-2-erklæring. Revisor vil også have et bedre udgangspunkt for at estimere tidsforbrug. Ved at tage en trinvis tilgang kan I ofte reducere omkostningen til revisor væsentligt. 

 

 

 

  Forventet ekstraopgaver for at udvide fra ISO27002 til ISO27001 

 

Forskellen mellem ISO27001 og ISO27002 ligger som beskrevet i dokumentationen og etableringen af selve ledelsessystemet opdelt i de fire faser: Plan, Do, Check og Act. Det er denne del, der skal implementeres og driftes for at gå fra ISO27002 til ISO27001. Det er således kapitel 4-10 i ISO27001-standarden, som skal inkluderes i organisationens ledelsessystem for informationssikkerhed.  

 

Opgaverne forbundet med at etablere denne proces ligger delvist i dokumentationen og tilrettelæggelse af de interne processer for de fire faser, og delvist i den interne tid, som skal bruges til at implementere og gennemføre processerne. 

 

Den reelle forskel ligger i faserne check og act”. Her stiller ISO27001 krav til, at der skal implementeres en kontinuerlig proces for at opstille målsætninger for de enkelte tiltag, tjekke om disse tiltag er effektive, og løbende justere, hvis resultaterne afviger fra målsætningerne. 

 

Da rammerne for ISO27001 har et større omfang end ISO27002, kan det forventes, at revisionsomkostningerne vil være tilsvarende højere, da revisor også skal gennemgå og revidere dokumentationen fra kapitel 4-10 som en del af revisionserklæringen.  

 

Ekstraopgaver: 

 

  • Forarbejde: Dokumentation og beskrivelse af processer omfattet i kapitel 4-10 i ISO27001-standarden 

     

  • Implementering og gennemførelse af processerne forbundet med de fire faser

     

  • Revisionserklæring – bør afstemmes med revisor. 

 

Det er primært den ekstra interne tid, som forventes at udgøre forskellen mellem fra ISO27002 til ISO27001. 

 

Der kan på samme måde som ved type-1 vs. type-2 være en fordel i at udvide rammerne trinvist. Kravet til modenheden i organisationen er større ved ISO27001 end ISO27002, og derfor kan det være relevant at udvide i takt med at organisationen modnes. 

Hvordan ser en projektplan ud for en organisation der vil være en certificeret i IT-sikkerhed ud?

Nedenfor er en liste over de næste steps, som en ”typisk dansk organisation” bør arbejde på, for at komme videre med et sådant projekt: 

 

  • Afstemning af revisionserklæringsomfang med udvalgte kunder og samarbejdspartnere. Formålet er således at sikre at disse samarbejdspartnere acceptere det valgte certificeringsniveau – ofte anbefales det at starte med en ISAE 3402-erklæring type-1 op imod ISO27002 
  • Indled dialog med en revisor for at få estimeret omkostningsniveau for deres udarbejdelse af revisionserklæring 
  • Endelig intern beslutning omkring valg er revisionserklæringstype og valg af standard 
  • Udarbejdelse af dokumentation, herunder IT-sikkerhedspolitik, IT-sikkerhedshåndbog og relevante retningslinjer og politikker 
  • Aftale med revision omkring udarbejdelse af revisionserklæring 
  • Implementering af nye tiltag/processer 
  • Udarbejdelse af selve revisionserklæring (type-1) 
  • Drift af det nye ledelsessystem i 6-12 måneder  
  • Evt. udarbejdelse af revisionserklæring (type-2)  

Hos CyberPilot har vi hjulpet virksomheder og organisationer med at komme igennem ovenstående steps. Derudover tilbyder vi services til organisationer, som allerede er certificeret, og som ønsker at få håndteret diverse opgaver for at fastholde deres certificering. Det kunne f.eks. være: 

 

 

Hvis du har sprøgsmål til jeres proces omkring certificering i IT-sikkerhed, så kontakt mig endelig. Så skal jeg gøre hvad jeg kan for at hjælp dig på rette vej. 

 

Rasmus Hangaard Vinge
email: rhv@cyberpilot.dk
tlf: 31120678

Få beskeder når vi udgiver artikler

4 steps til at sikre din virksomheds IT-sikkerhed

Har din organisation etableret en effektiv proces for løbende udvikling og vedligeholdelse af jeres IT-sikkerhed? Hvis næsten hvilken som helst dansk organisation, så gætter jeg på, at dit svar er nej. I dette og de følgende blogindlæg vil du blive introduceret til 4 steps, der kan anvendes som rammeværktøj til at få etableret effektiv IT-sikkerhed.

 

 

Sørg altid for at vurdere og evaluere dine tiltag

 

Min erfaring er, at en stor del af de danske virksomheder har været flittige til at sætte forskellige tiltag i gang. Man har implementeret en stor mængde tekniske tiltag (antivirus, firewall, spamfilter, brugerstyring osv.). Overordnet set er det rigtig fint, bortset fra, at hovedparten af virksomhederne ikke har valgt deres tiltag på baggrund af en risikovurdering af, hvad de reelle risici for den pågældende organisation er.

Derudover overvejes det ikke, hvordan effekten af de implementerede tiltag skal evalueres. Dermed står virksomheden reelt uden chance for at vurdere værdien af det enkelte tiltag, hvilket medfører at man famler i blinde, når man skal vurdere om et givent tiltag skal bibeholdes eller afskaffes.

 

 

4 steps: Plan – Do – Check – Act

 

Disse 4 steps er ikke nogle jeg har opfundet. De er fra ISO-standarden ISO27001, som er et rigtig godt rammeværktøj for, hvordan man kan tænke og arbejde med IT-sikkerhed. Du behøver heldigvis ikke at læse hele den lange ISO-manual – den tjans har jeg klaret, så du kan fint nøjes med blot at læse mit indlæg her.

De 4 steps er:

 

  1. PLAN: Risikovurdering & planlægning

  2. DO: Implementering af tiltag

  3. CHECK: Vurdering af eksisterende tiltag – har mine tiltag en effekt?

  4. ACT: Tilpasning af tiltag – reagér på evaluering og optimér

Min opfattelse af, hvor energien i dag bliver lagt i hovedparten af virksomheder i Danmark, er som følger:

  1. Der er et meget begrænset fokus på at planlægge sin indsats (PLAN)

  2. Der er til gengæld stort fokus på at sætte tiltag i gang – og gerne af teknisk karakter (DO)

  3. Der er forsvindende lidt fokus på at få indblik i om de tiltag, man har sat i gang, rent faktisk har en effekt (CHECK)

  4. Da (CHECK) bliver forsømt, bliver (ACT) enten foretaget med bind for øjnene, da man mangler indsigt, eller også bliver det slet ikke gjort.

De 4 steps er egentlig en simpel og helt logisk proces. Vi oplever dog generelt, at der hos mange virksomheder i dag er en manglende erkendelse af, at IT-sikkerhed netop er mere en proces, end blot at sætte tiltag i gang.

Konklusion: Flyt dit fokus mod processen

 

Formålet med dette indlæg har været at introducere dig til en simpel 4-steps proces, som kan hjælpe dig til at få et fast ”tag” i din virksomheds IT-sikkerhed.

Mit kernebudskab er:

  • Tænk IT-sikkerhed som en proces. Hav de 4 steps (PLAN, DO, CHECK & ACT) i baghovedet når du fremover gør dig overvejelser om IT-sikkerhed.

  • IT-sikkerhed er ikke en størrelse, man blot kan sætte strøm til og så ellers lade den passe sig selv. Dog behøver det heller ikke være en stor og tung opgave, som kræver uendelig opmærksomhed.


I mine kommende indlæg, vil jeg komme med vejledninger og eksempler på hvordan man kan anvende ISO-rammeværket (PLAN, DO, CHECK & ACT) i praksis.

Har du erfaringer med etablering af IT-sikkerhed i en organisation – stor eller lille? Har du kommentarer eller indspark til mit indlæg? Så byd endelig ind!



Rasmus Vinge er medstifter af og CEO i CyberPilot. CyberPilot fokuserer på at rådgiver og leverer services indenfor IT-sikkerhed til virksomheder, som har indset at IT-sikkerhed = risiko og håndtering heraf. Vores tilgang er pragmatisk og i øjenhøjde.

Følg os her på hjemmesiden eller på LinkedIn. Vi kommer løbende med råd og vejledning til, hvordan man som dansk virksomhed med simple skridt kan arbejde med IT-sikkerhed, og hvordan man sørger for at anvende sine ressourcer mest effektivt.