October 7, 2024
I januar 2025 trer det nye EU-regelverket Digital Operational Resilience Act (DORA) i kraft, med mål om å styrke den digitale motstandskraften i finanssektoren. DORA skal sørge for at selskaper som banker, forsikringsselskaper og andre finansinstitusjoner er rustet til å håndtere digitale angrep og driftsavbrudd. For norske virksomheter innebærer dette blant annet at de må stille strengere krav til sine leverandører – spesielt innen cybersikkerhet.
ISO-sertifisering er ikke bare et bevis på at virksomheten tar informasjonssikkerhet på alvor, det er også et konkurransefortrinn, dersom det gjøres riktig og ikke bare som en engangsøvelse.
En konsekvens av dette er at flere virksomheter nå vil kreve at deres leverandører har ISO-sertifiseringer på plass, for å sikre at nødvendige sikkerhetsprosedyrer er innarbeidet og kontinuerlig fulgt opp mht. effekt og måloppnåelse. Men hva betyr ISO-sertifisering, og hvordan kan din bedrift oppnå dette?
I denne artikkelen vil vi gå gjennom hva en ISO-sertifisering innebærer, hvorfor den blir stadig viktigere i lys av DORA-regelverket, og hva som skal til for å oppnå en sertifisering innen ISO 27001.
Hva er ISO-sertifisering?
ISO (International Organization for Standardization) er en internasjonal organisasjon som utvikler ledelsesstandarder for en rekke områder, inkludert informasjonssikkerhet. ISO 27001, som er særlig relevant her, er en av de mest kjente ledelsesstandardene innenfor informasjonssikkerhet, og beskriver kravene til et styringssystem for informasjonssikkerhet (ISMS – Information Security Management System).
Enkelt forklart er det slik at en virksomhet som oppfyller kravene i ISO 27001 demonstrerer at de har på plass et system for å sikre et eksplisitt beskrevet utvalg av data, IT-løsninger og prosesser, ofte med utgangspunkt i egne og kunders data, og at de er i stand til å håndtere og redusere risikoen for sikkerhetsbrudd.
Hvorfor er ISO-sertifisering viktig under DORA?
DORA stiller klare krav til at finansinstitusjoner må kunne demonstrere en tilfredsstillende digital motstandskraft. Dette betyr at alle ledd i forsyningskjeden – inkludert leverandører – må oppfylle visse minimumskravene for sikkerhet og stabilitet. For mange virksomheter vil ISO 27001 være en måte å sikre at deres leverandører følger god praksis når det gjelder informasjonssikkerhet.
En leverandør med ISO-sertifisering gir trygghet for at de har et strukturert rammeverk for sikkerhetshåndtering, og at de løpende vurderer og forbedrer sine prosesser for å håndtere nye sikkerhetstrusler. Dette er en stor fordel for bedrifter som ønsker å vise samsvar med DORA, og som vil redusere risikoen i sine leverandørkjeder.
Hvordan oppnå ISO 27001-sertifisering?
Å bli ISO-sertifisert krever en systematisk tilnærming til sikkerhet, og prosessen kan deles inn i noen hovedtrinn:
1. Forstå kravene i ISO 27001
Først må virksomheten sette seg inn i kravene som stilles i ISO 27001. Dette innebærer å forstå hva et ISMS er, og hvordan det best skal innarbeides og tas i bruk av virksomheten. ISO 27001 beskriver ikke som mange tror, hvilke tekniske løsninger som må på plass, men også hvordan man skal styre både forbedringer og risikoer, håndtere trusler og ha klare prosedyrer der hvor det trengs, eksempelvis innen kritiske områder som tilgangsstyring og gjenoppretting ved brudd på sikkerheten.
2. Gjennomfør en god beskrivelse av interne og eksterne interessenter og forhold
En svært vanlig feil er å ta for lett på beskrivelsen av hvilke interessenter og forhold som virksomheten opererer i danner selve utgangspunktet for innholdet i styringssystemet, som er inngangsvinklingen og noe av det mest fundamentale for et velfungerende styringssystem.
3. Gjennomfør en risikovurdering og utarbeide risikohåndteringsplan
Forbedringer og risikobevissthet er selve kjernetankegangen i ISO 27001. Å kunne vise til gode risikovurderinger er derfor en sentral del av det å bli ISO-sertifisert. Dette innebærer å identifisere mulige trusler mot virksomhetens data og systemer, vurdere hvor sannsynlig disse truslene er og hvilket risikonivå virksomheten opererer under, og bestemme hvilke tiltak som må til for å håndtere uønsket risiko. Det er viktig at ledelsen er involvert i denne prosessen, da det krever beslutninger på høyt nivå om hvilke risikoer man er villig til å ta, og hvilke som må reduseres.
4. Utvikle anvendelighetserklæring (SoA) og iverksette ISMS
Når risikovurderingen er fullført skal virksomheten etablere sin egen anvendelighetserklæring, det som på engelsk omtales som Statement of Applicability (SoA). Dette er dokumentet der virksomheten argumenterer for hvilke sikkerhetstiltak fra ISO 27001 som skal iverksettes, og hvilke som utelates. Iverksettelsen av styringssystemet skal dekke alle prosesser, lokasjoner og tekniske løsninger som faller innenfor virkeområdet som er definert. Videre skal styringssystemet rettes inn mot hvordan virksomhetens viktigste informasjonsverdier blir identifisert og tilfredsstillende beskyttet, eksempelvis gjennom tilgangskontroll, sikring av fysiske og digitale ressurser, samt hvordan sikkerhetshendelser oppdages og håndteres effektivt. Styringssystemet må være tilpasset virksomhetens størrelse, type og risikoprofil.
5. Intern revisjon og Ledelsens gjennomgang
Etter iverksettelsen av styringssystemet må virksomheten ved planlagte intervaller gjennomgå og evaluere styringssystemet for å sikre at det fungerer som det skal. Dette innebærer å sjekke hvorvidt ledelsen og medarbeidere faktisk praktiserer prosedyrene og retningslinjene som er satt i styringssystemet. I tillegg er det essensielt for ISO-sertifiseringen at ledelsen selv vurderer hvorvidt virksomheten oppnår ønsket effekt fra styringssystemet. I all hovedsak handler dette om å sikre at styringssystemet faktisk bidrar til kontinuerlig forbedring, løpende håndtering av risikoer samt ivaretakelse av virksomhetens forpliktelser overfor de ulike interessentene og forhold som ligger til grunn for styringssystemet.
6. Ekstern revisjon og sertifisering
Selve sertifikatet utstedes i kjølvannet av en ekstern revisjon fra et akkreditert sertifiseringsorgan. Gjennom revisjonen vil en dedikert ISO-revisor innlede en god dialog med virksomheten for å få en god oversikt over hvordan kravene i ISO 27001 er oppfylt, og at virksomheten har iverksatt et styringssystem som fungerer effektivt. Dersom virksomheten kan demonstrere at den er prosessorientert og jobber strukturert med risiko og forbedringer, vil sertifiseringsorganet utstede ISO 27001-sertifikat og registrere virksomheten i det sentrale registeret over ISO-sertifiserte virksomheter.
NB! Mange sertifiseringsorganer utsteder såkalte «Erklæring for påbegynt sertifisering» som virksomheten kan benytte i sine markedsaktiviteter i påvente av å få endelig selve sertifikatet. Dette kan være verdt å undersøke før virksomheten bestemmer seg for hvilket sertifiseringsorgan det ønsker å benytte.
Hva er fordelene med ISO 27001-sertifisering?
ISO 27001 gir flere fordeler for virksomheter, spesielt i lys av DORA-regelverket:
Oppsummering
DORA-regelverket har gjort det klart at informasjonssikkerhet er en kritisk faktor for å sikre robusthet i den digitale økonomien. For leverandører til finanssektoren betyr dette at kravene til sikkerhetspraksis og sertifiseringer skjerpes, og en ISO 27001-sertifisering kan være et viktig verktøy for å møte disse kravene.
For virksomheter som ønsker å sikre ISO 27001-sertifisering, kreves en systematisk tilnærming til risikostyring og implementering av et styringssystem for informasjonssikkerhet. Hos Melius Consulting tilbyr vi eksperthjelp gjennom hele sertifiseringsprosessen, fra risikovurdering til ekstern revisjon, slik at du kan rette søkelyset mot kjernevirksomheten din med trygghet om at dine løsninger og informasjonsverdier er godt nok beskyttet.
Ved å være forberedt på de nye kravene som følger av DORA, kan din virksomhet ikke bare sikre samsvar med regelverket, men også styrke sin konkurranseevne i et stadig mer sikkerhetsbevisst marked.
---
Roger Ølstad
Leder | Cyber, IT og risikostyring
roger@meliusconsulting.no
+47 913 98 547
Andre artikler:
