I takt med at verden bliver mere og mere digital, stiger behovet for et øget it-sikkerhedsniveau, så organisationerne er bedst muligt beskyttet mod potentielle hackerangreb, herunder phishing, social engineering og Ransomware. Ikke nok med det, så skal de også sikre, at deres organisation lever op til de forskellige it-sikkerhedsstandarder, heriblandt ISO 27001. Vores Senior Service Management konsulent, Ulrik Pedersen, gør dig klogere i dette blogindlæg.
Hvad er ISO 27001-standarden?
Alle organisationer er forpligtet til at leve op til forskellige standarder, når det kommer til it-sikkerhed og databeskyttelse, herunder ISO 27001. ISO27001 er en international sikkerhedsstandard, der har til formål at hjælpe organisationer med at tage de rette sikkerhedsforanstaltninger – og dermed bidrage til beskyttelse af deres data. Her er der særligt fokus på processer, roller og ansvar, risikostyring, og dokumentstyring.
Grundlæggende er formålet med implementeringen af ISO 27001-standarden, at man får beskyttet organisationens kritiske informationsaktiver i overensstemmelse med den gældende lovgivning på området, f.eks. GDPR. Standarden har nogle veldefinerede målepunkter, der gør det overskueligt for organisationer at se, hvordan de kan leve op til standardens krav.
Hvordan kan du administrere ISO 27001-målepunkterne i et ITSM-system?
Der er flere forskellige dele af dit ITSM-system, som kan anvendes til at administrere dine ISO 27001-målepunkter.
CMDB’en (Configuration Management Database) eller Asset Management kan anvendes til at registrere datakort på alle de målepunkter, du skal følge op på, for at leve op til standarden. Heri kan du med fordel have alle de specifikationer, der giver mening, herunder rollefordeling, frekvens af måling m.m. Datakortet vil også kunne anvendes til at sende (automatiske) påmindelser ud til relevante personer, hvis f.eks. en deadline for en kontrol bliver overskredet.
Derudover kan du anvende Incident- eller Service Request Management til at sikre, at relevante medarbejdere (automatisk) får tildelt opgaver, når det er tid til at følge op på et givent målepunkt.
Få et overblik over roller og rettigheder
Én ting er, hvordan du kan administrere, at din organisation lever op til de sikkerhedsstandarder, som I er forpligtet til vha. dit ITSM-system. En anden ting er de tiltag, som du kan tage for at sikre, at I efterlever kravene om databeskyttelse. Her kan du med fordel vende blikket mod dine roller og rettigheder.
For at få et bedre overblik over alle roller og rettigheder kan du anvende den funktion i dit ITSM-system, som giver dig mulighed for at lave finmaskede rettighedstildelinger. Herefter kan du sikre, at dine medarbejdere kun får tildelt de rettigheder, der er nødvendige for at udføre deres arbejdsopgaver – og at de dermed ikke har adgang til unødvendige personfølsomme data.
Hvis ITSM-systemet anvendes af flere forskellige teams, er det derudover vigtigt, at du har mulighed for at filtrere sagerne, så medarbejderne i servicedesken ikke kan se HR-teamets sager – og omvendt.
Det samme gør sig gældende, hvis du har en serviceportal til dine slutbrugere. Denne skal ligeledes kunne opsættes således, at slutbrugerne kun kan fremsøge de formularer, vejledninger og sager, der er relevant for dem, så du ikke risikerer databrud.
Interesseret i at vide mere?
Er du interesseret i at lære mere om, hvordan du kan optimere it-sikkerheden i din organisation? Så kan du blive klogere på vores webinar: Datasikkerhed: sådan forbliver du GDPR-compliant.
