Kiwa:
Sikkerheten rundt informasjon er noe alle bedrifter må forholde seg til. Hvordan behandles sensitive opplysninger? Er risikoen for tap av forretningskritisk informasjon vurdert? Hvordan håndteres et sikkerhetsbrudd?
Natalia Koneva, revisjonsleder i Kiwa, fremhever at en sertifisering er et glimrende utgangspunkt for å få kontroll i egne rekker.
– En sertifisering er kort sagt en tredjeparts bekreftelse på at du oppfyller kravene i en standard, forklarer Koneva.
– ISO/IEC 27001 – Sertifisering av ledelsessystem for informasjonssikkerhet – er verdens mest anerkjente standard for datasikkerhet. Den passer for alle virksomheter, uavhengig av selskapsform, bransje og størrelse, sier Koneva og fortsetter:
– Standarden har en helhetlig tilnærming til IT-sikkerhet og beskriver beste praksis for å beskytte organisasjoners data. Den har også søkelys på informasjonssikkerheten i bedriftens leverandørkjede.
Fokus på bestillerkompetanse
Ved bestilling av eksterne IT-tjenester skal man, ifølge Koneva, ikke ta for gitt at leverandøren har full kontroll over informasjonssikkerheten. Som bestiller har man heller ikke alltid kunnskap om hva som bør sjekkes eller hvordan oppfølgingen skal skje.
Koneva peker på at en leverandør ofte har underleverandører, som i mange tilfeller holder til i utlandet.
– En kjede er ikke sterkere enn det svakeste leddet. Jo lenger leverandørkjeden din er, jo større blir den digitale sårbarheten. Det er helt nødvendig å utarbeide en leverandøravtale som sikrer dine data i tilstrekkelig grad, sier Koneva.
Hun anbefaler å stille som et minimumskrav at leverandører har etablert et styringssystem for informasjonssikkerhet og er sertifisert i henhold til ISO 27001.
