Søg

Sæt dig ind i denne standard - det vil kunne betale sig

Klumme: I takt med at truslerne bliver mere varierede og avancerede, er der brug for nye værktøjer og teknologier, der imødegår dem. Ny standard kan blive din bedste ven.

27. september 2013 kl. 14.30
Artikel top billede
Shehzad Ahmad Shehzad Ahmad Head of it security, IF

Genkender du denne situation? Din virksomhed bliver ramt af en virus, der hurtigt inficerer mange af brugernes pc'er. Som resultat investerer du i antivirus.

Sådan er mange sikkerhedsprodukter blevet købt gennem tiden: Som resultat af en konkret trussel eller sikkerhedshændelse.

Det beskytter virksomheden mod de trusler, som sikkerhedsproduktet virker mod.

Men den måde at købe sikkerhed på er ikke bæredygtig. For man kan ikke købe sikkerhed.

Man kan købe produkter, der kan hjælpe med at gennemføre en sikkerhedspolitik.

Du skal have en sikkerhedspolitik

Det kræver imidlertid, at man har en sikkerhedspolitik.

Ellers ender virksomheden med en række produkter, der ikke spiller sammen, og som ikke er et middel til at gennemføre en politik.

I min seneste klumme kom jeg med et bud på, hvordan man kan få styr på den strategiske og ledelsesmæssige side af arbejdet med informationssikkerhed:

Den internationale standard ISO 27001.

Den beskriver, hvordan man opbygger et ledelsessystem for informationssikkerhed (ISMS, Information Security Management System).

 Lad mig her gå lidt mere i detaljer med standarden og løfte sløret for, hvordan den senere på året bliver ændret.

Forretning er udgangspunkt

ISO 27001 bygger på tanken om, at sikkerhed er ledelsens ansvar.

Derfor tager arbejdet med informationssikkerhed udgangspunkt i den virksomhed, den indgår i.

Hvad er vores forretningsmodel?

Hvordan tjener vi vores penge? Hvad er de vigtigste trusler mod vores forretning?

De indledende manøvrer - pas nu på

Hvis man lever af at projektere cementfabrikker, kan virksomhedens websted godt være nede en uges tid, uden at man mister ordrer af den grund.

Omvendt kan en webbutik miste omsætning og kunder, hvis den er nede i en uge.

De to virksomheder har forskellige risikoprofiler og skal derfor prioritere forskelligt, når det gælder informationssikkerhed.

Virksomheden med cementfabrikkerne skal sikkert investere mere i beskyttelse mod industrispionage, hvor det for webbutikken er mere afgørende at beskytte mod nedbrud og tabt internetforbindelse.

Fastlæg politikker

Når en virksomheds ledelse går i gang med at opbygge et ISMS, skal den derfor begynde med at definere systemets anvendelsesområde - og ikke mindst afgrænsningen af det:

Hvad skal ikke være dækket?

Det arbejde tager udgangspunkt i virksomhedens forretning, hvor den ligger, og hvad dens aktiver og teknologier er.

Når området er defineret, går man i gang med ISMS-politikken.

Den afstikker de overordnede mål og tager også eksterne krav med i betragtning.

Det er afgørende, at informationssikkerhed ikke bliver en ø i virksomheden, som overlades til it-funktionen.

Derfor understreger ISO 27001 også, at ISMS-politikken skal ligge inden for rammerne af virksomhedens strategiske risikoledelse.

Et hackerangreb er med andre ord en forretningsmæssig risiko på linje med risikoen for, at en underleverandør går konkurs.

Jeg synes, det er en af standardens stærke sider:

Den undgår at se på informationssikkerhed som et isoleret område, men lader det indgå i virksomhedens samlede arbejde med risikovurdering.

Sådan bør du gøre - arbejd efter PDCA-modellen

Arbejd i cyklus

Som arbejdsform forudsætter standarden, at man bruger den såkaldte PDCA-cyklus: Plan - Do - Check - Act.

Først planlægger man, hvad man vil gøre.

Så gør man det og indsamler data om resultatet.

Herefter evaluerer man data, hvorefter man ændrer de ting, der ikke fungerer som ventet.

Den nuværende version af ISO 27001 er fra 2005. Den næste er færdig og ventes udsendt senere på året.

I forhold til forgængeren lægger 2013-versionen mere vægt på at måle og vurdere, hvor godt ISMS'et fungerer.

Endvidere er der kommet et afsnit om outsourcing.

Det er en god forbedring, ikke mindst fordi mange virksomheder lægger opgaver ud i skyen.

Men selvom man outsourcer en opgave, kan man ikke outsource risikoen.

2013-udgaven lægger ikke så meget vægt på PDCA-cyklussen.

Arbejdet med at se holistisk på sikkerheden har betydet, at standarden har fået en struktur, der ligner andre ledelsesmæssige standarder.

Det er godt, da det så bliver lettere at indføre ISO 27001 sideløbende med standarder som ISO 9000 (kvalitetsstyring) og ISO 20000 (IT Service Management).

Stadig brug for teknik

Al denne fokus på ledelsen betyder ikke, at den tekniske side er ligegyldig. Den er faktisk vigtigere end nogensinde:

I takt med at truslerne bliver mere varierede og avancerede, er der brug for nye værktøjer og teknologier, der imødegår dem.

ISO 27001 kan dermed bliver teknikerens bedste ven.

For når først ledelsen har forpligtet sig til at tage informationssikkerheden alvorligt, er den også nødt til at lytte, når de tekniske eksperter anbefaler et nyt produkt eller en ændret procedure.

Så mit råd til jer, der arbejder med it-sikkerhed, lyder: Sæt jer ind i ISO 27001 - og få jeres ledelse til at gøre det samme.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Erhvervsakademi Aarhus

    Undervisere til it-uddannelser

    Midtjylland

    Jyske Bank

    GRC specialist til Digital Robusthed & Sikkerhed

    Midtjylland

    KMD A/S

    E2E Tester

    Fyn

    Statens IT

    Systemadministratorer til Intune/SCCM-drift i Statens It

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    NIS2 gjort enkelt - spar tid med Security Insights

    Sikkerhed | Online

    NIS2 gjort enkelt - spar tid med Security Insights

    Få styr på NIS2 uden manuelt kaos. Lær at automatisere security assessments, styrke dokumentation og prioritere indsats. TDC Erhverv viser konkrete greb, der sparer tid og løfter compliance. Tilmeld og få 2 måneders gratis Security Insights.

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    Digital transformation | Hellerup

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    AI kræver data, ledelsen kan stole på. Computerworld samler digitale ledere til en fortrolig rundbordssamtale om datagrundlag, beslutninger og skalering af AI i organisationen. Få konkrete erfaringer og nye perspektiver. Ansøg om en plads.

    Kod smartere med GitHub Copilot

    It-løsninger | Online

    Kod smartere med GitHub Copilot

    Få styr på GitHub Copilot og skriv bedre kode hurtigere. Se hvordan Copilot løser opgaver, sparrer på fejl og løfter komplekse workflows. Oplev live demo og lær hvordan du kommer i gang med licenser og opsætning.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 1. februar 2026 ansat Mads Linné Kaasgaard, 31 år, som Marketing Specialist. Han skal især beskæftige sig med med at løfte Renewtechs brand og kommunikation yderligere ud globalt. Han kommer fra en stilling som Marketing Manager hos Induflex A/S. Han er uddannet fra Aalborg Universitet og har en Cand. Merc. i Sprog & International Virksomhedskommunikation. Nyt job

    Mads Linné Kaasgaard

    Renewtech ApS

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos

    Netip A/S har pr. 1. februar 2026 ansat Henrik Mejnhardt Nielsen som ny kollega til Product Sales Teamet i Herlev. Han kommer fra en stilling som Business Development Manager hos Arrow. Nyt job

    Henrik Mejnhardt Nielsen

    Netip A/S

    Markus Dalsgaard Sisseck, Business Developer hos Martinsen Rådgivning & Revision, har pr. 21. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aalborg Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Markus Dalsgaard Sisseck

    Martinsen Rådgivning & Revision

    Se mere fra navnenyt

    Mest læste

    1 Guide: Sådan bør du skifte mellem ChatGPT, Claude og Gemini
    2 Fyringer af tusindvis af ansatte i store it-selskaber er udtryk for 'fundamental struktur-ændring'
    3 Microsofts største Copilot-ordre nogensinde: Udruller Copilot til 743.000 ansatte - forventer markante forbedringer
    4 Kæmpeopgave: Sådan rydder Allan Severinsen op i Danske Banks tunge it-legacy
    5 Kodenavnet er Windows K2, og det er Microsofts store plan for at vinde brugernes tillid tilbage
    6 Microsoft klar med stor ændring: Dropper en af de mest irriterende ting ved software-opdateringer
    7 Google-ansatte i fælles opråb: Vil have topchef Sundar Pichai til at gribe ind
    8 Morgen-briefing: Salg af BEC er en 'klog beslutning' / Kendt tysk it-rigmand: Europa taber AI-kapløb / 40.000 Samsung-ansatte demonstrerer mod dårlig løn

    Se seneste uge