Informationssäkerhet och GDPR
Informationssäkerhet handlar om att bevara informationens konfidentialitet, integritet och tillgänglighet. Med andra ord att se till att den information man har inte kan nås av obehöriga - samtidigt som den görs tillgänglig för dem som behöver tillgång.
Tre viktiga begrepp inom informationssäkerhet:
- Konfidentialitet: Information som obehöriga personer, enheter eller processer inte har tillgång till
- Integritet: Informationen ska vara korrekt och fullständig
- Tillgänglighet: Informationen ska vara tillgänglig och användbar när den begärs av den behöriga personen
GDPR integrerat i ledningssystemet
Med GDPR kom nya riktlinjer för informationssäkerhet och integritet. I 4human QM365:ssystem finns funktioner som kan uppfylla kraven i GDPR och ISO 27001-standarden för informationssäkerhet.
Detta löses bland annat genom att du ska kunna göra riskbedömningar avseende informationssäkerhet. Dessutom finns det krav på att du ska kunna hantera avvikelser som rör informationssäkerhet. Detta är integrerat i 4human QM365:s system.
I systemet registrerar du alla tillgångar - resurser - och behandlar dem i enlighet med kraven på lagring och radering av data.
Den här funktionaliteten gör det enkelt för er organisation att följa lagar och riktlinjer. Läs mer om GDPR-hantering.
Certifiering i informationssäkerhet
För att bevisa att du har kontroll över den information du hanterar är en tredjepartscertifiering det enklaste sättet. ISO 27001 ger en bra struktur för hur man bygger upp och kontinuerligt förbättrar sin informationssäkerhet. Ett informationssäkerhetssystem består av en uppsättning policyer, procedurer, riktlinjer, resurser och aktiviteter och är en systematisk metod för att etablera, implementera, driva, övervaka, granska, underhålla och förbättra informationssäkerheten för att uppnå affärsmålen.
Viktiga element
I ISO 27001 hittar vi termen Asset. Tillgångar inkluderar både alla typer av information och informationsbärare. Kort sagt, det som är av värde för organisationen. Dessa måste kartläggas noggrant. Riskhantering är en central del av ISO 27001. Det här är en krävande uppgift eftersom man måste titta på hot och sårbarheter som rör alla olika tillgångar och de riskaspekter som kan uppstå. Var och en av dessa måste bedömas och det måste alltid dokumenteras hur organisationen möter de olika riskerna genom specifika åtgärder.
I ISO 27001 (Bilaga A) finns en lång lista med säkerhetsåtgärder som bör övervägas som en lösning, inklusive andra risker. Denna lista med 114 åtgärder är inte komplett och det förväntas att ni även letar efter andra möjliga säkerhetsåtgärder. Om du inte har genomfört någon av de 114 åtgärderna måste detta också dokumenteras. Efter att säkerhetsåtgärderna har genomförts måste även den kvarstående risken bedömas.
Bevisa ditt fokus!
Informationssäkerhet blir allt viktigare. Den information som du hanterar är grunden för din organisation. Att bevisa för kunder, leverantörer och myndigheter att man har kontroll över sin informationssäkerhet kan vara krävande om man inte har ett certifikat som visar att man har kontroll över området och fokuserar på att förbättra det.
Vill du veta mer om ISO 27001?
Om du är intresserad av ISO 27001, kontakta 4human QM365 redan idag. Vi tittar gärna på ISO 27001 tillsammans med er, och gärna i kombination med andra ledningssystemstandarder - till exempel ISO 9001 (kvalitet). Våra system hanterar det som behövs och vår implementeringsprocess säkerställer certifieringen.
Informationssäkerhet ISO 27001. Med SIMPLI kan du integrera ISO 27001 i ditt ledningssystem som även hanterar ISO 9001, ISO 14001, ISO 45001/HMS och andra ISO-liknande standarder.