Der både sund fornuft og god økonomi i at fortsætte vedligeholdelsen af virksomhedens compliance arbejde med ISO 27001 og GDPR. For GDPR både kan og bør stå på skuldrene af jeres eksisterende informationssikkerhedsarbejde.
EU, myndigheder, politikere og andre med interesse i datasikkerhed er lykkedes med at sætte GDPR øverst på dagsordenen i mange private og offentlige virksomheder. Det er ubetinget positivt.
Men for nogle har det store GDPR-fokus desværre haft den konsekvens, at de nærmest er stoppet med at vedligeholde deres traditionelle informationssikkerhed.
I stedet for at arbejde med informationssikkerhed og GDPR i to parallelle spor, opfordrer vi til, at man bygger virksomhedens GDPR-tiltag ovenpå virksomhedens eksisterende informationssikkerhedsprocesser. For mange offentlige og private virksomheder vil det typisk være ISO 27001-standarden.
Har svært ved at nå det hele
“Når vi spørger virksomheder, hvor langt de er med deres GDPR-compliance, fortæller de ofte, at de har svært ved at nå det hele samtidig med ISO 27001, og derfor har de nedprioriteret deres ISO-arbejde,” siger adm. direktør for NorthGRC, Jakob Holm Hansen.
Det er ikke, fordi virksomhederne pønser på helt at skrotte den informationssikkerhed, de har brugt årevis på at bygge op. Der er bare ikke så mange, der sørger for at koble deres eksisterende informationssikkerhed sammen med GDPR – selvom det netop bør være målet.
“Digitaliseringsstyrelsen anbefaler, at man arbejder med GDPR på baggrund af ISO 27001, fordi mange af sikkerhedsprincipperne går igen. Så man kan spare en masse energi og en masse tid på at bygge ovenpå i stedet for at bygge nyt,” forklarer Jakob Holm Hansen.
Sammenfald mellem ISO 27001 og GDPR-principperne
Graver man et spadestik ned i GDPR-lovteksten, fokuserer artikel 32 specifikt på informationssikkerhed, og hvordan virksomheder på dette punkt skal leve op til de krav i forordningen. Her står der bl.a., at man som DPO skal have passende tekniske og organisatoriske foranstaltninger på plads – disse foranstaltninger kan passende implementeres ved hjælp af ISO-standarderne for informationssikkerhed, ISO 27001 og ISO 27002 eller sågar ISO 27701.
Forordningen stiller krav om, at man skal sikre fortrolighed, integritet og tilgængelighed, og at man skal kunne reetablere tilgængeligheden til personoplysninger. Det er alle klassiske dyder inden for informationssikkerhedsverdenen.
Og endelig er der fokus på, at man skal fastlægge sit sikkerhedsniveau ud fra de risici, man ser. Det er samme risikobaserede tilgang, der er præmissen bag ISO 27001-standarden.
Smid ikke ISO 27001 arbejdet ud
Med andre ord skal man ikke smide ISO 27001 arbejdet ud med badevandet – heller ikke når det handler om informationssikkerhed, GDPR og beskyttelse af persondata. Mange private og offentlige virksomheder gør allerede det rigtige, og det skal de fortsætte med.
“Jo bedre du vedligeholder din eksisterende informationssikkerhed, des mere GDPR-compliant bliver du helt automatisk,” slutter Jakob Holm Hansen.
Få en platform til at styre GDPR og informationssikkerheden samtidig
I NorthGRC kan du administrere din databeskyttelse og informationssikkerhed samtidig og på en integreret måde, så du aldrig behøver at udføre samme opgave to gange. Opgaver, politiker, og dokumenter, der skal udfyldes i begge kravsæt er nemlig mappet i NorthGRC, så du kun skal lave det én gang. Læs mere og anmod on en gratis prøveversion af NorthGRC her.