ISO 27001 hjelper deg å sette sikkerhet i system
En sertifisering gjør det enklere å møte sikkerhetskrav og det blir lettere vinne nye kunder.
Hans Peter Østrem er revisjonsleder på sikkerhetsstandarden ISO 27001 i DNV Business Assurance. Han har jobbet med IT-sikkerhet i snart fire tiår.
Han har blitt revidert, vært konsulent til de som skulle revideres, og er nå revisor og revisjonsleder.
– Det er interessant å få jobbe tett med store norske virksomheter og se hvordan ISO-standarden skjerper sikkerhetsnivået, sier han.
Østrem har sine oppdragsgivere som han har fulgt over tid.
– Vi skal tilføre verdi og kvalitet i oppdragene. Det er gøy å se hvordan en slik internasjonal standard hjelper bedriftene levere kontinuerlig forbedring fra år til år.
Sertifikatet varer i tre år. Det starter med en full revisjon det første året, pluss en oppfølging to ganger de neste to årene. Deretter er det en ny runde for å utstede sertifikatet på nytt.
– ISO 27001 er i de fleste land anerkjent som den beste sertifiseringen for IT-sikkerhet. Alt fra nasjonale sikkerhetsmyndigheter til store bedrifter har denne standarden som sin kokebok på hvordan få sikkerheten på stell, sier han.
Møter kravene til NIS2
ISO 27001 ser på ledelsessystemet for sikkerhet. Den kommer med 93 kontroller som både er tekniske og som ivaretar hvordan sikkerheten etterleves i organisasjonen.
– Det som skiller 27001 fra andre standarder er at du må gå gjennom alle disse kontrollene og svare de ut som et ledd i selve revisjonen.
Standarden danner også grunnlaget for de nye sikkerhetskravene i den nye EU-forordningen NIS2 som kommer som et krav til norske bedrifter i løpet av de neste årene.
– Er du sertifisert etter ISO 27001 så dekker du opptil 80 - 90 prosent av kravene til NIS2. EU har sett på denne sertifiseringen da de formet ut kravene til sin nye forordning, sier Østrem.
Det blir best når ledelsen er med
Avhengig av størrelsen på bedriften så stiller gjerne DNV med en til tre revisorer. Forankring i toppen hos oppdragsgiver er en viktig forutsetning.
– Jeg var hos en kunde som hadde kalt inn hele ledelsen til formøtet for å skape forankring. Det førte til en meget god prosess gjennom hele sertifiseringsløpet, sier han.
Første ledd i sertifiseringen er en dokumentgjennomgang. Her ser revisor på hvor godt forberedt virksomheten er til selve sertifiseringsløpet. Det skaper funn som kategoriseres og som må tilfredsstilles før neste ledd iverksettes.
– Denne første delen tar 3-6 måneder. Det er funn som må lukkes, lovkrav som må møtes og gjerne regler, retningslinjer og arbeidsprosesser som må implementeres og gjennomføres før hovedrevisjonen.
Når virksomheten føler seg komfortable med endringene så tar de kontakt for neste fase – hovedrevisjonen.
– Her ser revisor på hvordan kravene i standarden, og kontrollene og rutinene er innført og blir brukt.
I tillegg gjøres det intervjuer på alle nivå fra IT-drift og de som programmerer, til prosjektledere, sikkerhetsansvarlige, HR og de som har ansvar for GPDR, og opp til ledelsen.
– Det gir oss en liste over funn som må avklares og lukkes. Er det alvorlige avvik så må de løses før sertifikatet utstedes. Andre elementer må settes i system og dokumenteres hvordan det skal jobbes med over tid.
Hjelper deg finne områder for forbedring
Østrem ser en trend i at mange virksomheter følger sikkerhetsstandarden, men at de mangler selve sertifikatet.
– Det er jo litt pussig. Du gjør mye av jobben, men får ikke gevinsten. De som har gått gjennom revisjonen sier at de føler seg tryggere, og melder om langt enklere anbudsprosesser. Sertifisering er et konkurransefortrinn og det er et krav som kommer mer og mer.
Østrem mener DNV skiller seg ut gjennom sin gode metodikk for hvordan de gjør ISO-sertifiseringen. Metodikken er utviklet over tid. Som en stiftelse har selskapet stort rom for å investere i revisorenes kompetanse, og å ruste opp kvaliteten i hvordan oppdragene leveres.
– Et eksempel er at vi var først i verden til å revidere en kunde etter den nye ISO-standarden på kunstig intelligens, sier han.
