Behandler du større mængder af personfølsomme data? Har du et behov for en øget sikkerhed omkring din online platform? Har du leverandører eller andre parter der stiller krav til ISO 27001 hosting?
Webto tilbyder et hostingmiljø, som besidder en ISO 27001 certificering. Det betyder, at din webløsning overholder sikkerhedskrav, der stilles af staten til online løsninger. For mange typer af organisationer stilles der strænge krav til, hvordan data håndteres. Specielt hvor data opbevares, og sikkerheden omkring servere har stort fokus. ISO 27001 sikrer dig, at dine data befinder sig hos en hosting udbyder, der overholder en global standard for sikkerhed. Således behandles data på en måde, der er i overensstemmelse med statens standarter for sikring mod cyberangreb, datalæk, ransomware og nedbrud/tab af data.
Hvad betyder ISO 27001?
ISO 27001 er en godkendelse af organisationer i henhold til cyber- og informationssikkerhed, som er valgt af staten, og det er en certificering som blandt andet statslige myndigheder skal overholde. Der er flere grunde til at staten har valgt ISO 27001 som sikkerhedsstandard:
Standarden behandler hver organisation og institution forskelligt, fordi den tager udgangspunkt i den enkelte organisations/institutions risikoprofil og stiller krav til, at der implementeres sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den organisation og institution. Dvs. at en hostingudbyder skal efterleve en række specifikke sikkerhedskrav, som har fokus på datasikkerhed og serversikkerhed i et hosting miljø.
ISO 27001-standarden lægger stor vægt på ledelsens engagement og bevidste stillingtagen. Det betyder, at organisationen der hoster din løsning, også skal overholde krav til ledelsen i organisationen omkring, hvilke procedurer der skal indføres, og hvordan de indføres. Alt sammen med henblik på at sikre data og den beslutningstagen der følger behandling af data i store mængder.
Standarden indeholder en liste af mulige kontroller, der kan indføres for at opnå et passende sikkerhedsniveau. Det viser en grad af modenhed i den organisation, der anvender ISO 27001 inden for sit respektive fag. Har du f.eks. en hostingudbyder med mange servere, store datacentre og tusindvis af webløsninger, så skal denne udbyder kunne stille visse garantier, der er på niveau med Industry standards eller højere end Industry standards inden for server og datasikkerhed, og de procedurer for kontrollering af hostingmiljøet.
Det er krav til backup af servere på separate fysiske lokationer, og hvordan disse servere snakker sammen og hvilke protokoller de bruger. Samt hvilke kontrolprocedurer der er gældende for løsningen. En hostingudbyder kan f.eks. køre med sit helt eget internt informationssikkerhedsprogram (ISMS), der overvåger alle transaktioner af data mellem datacentre, og hvis noget trafik ikke giver logisk mening, så er der måske snak om et hackerangreb. I sådan et tilfælde fryser softwaren hele kørslen af data, således der ikke opstår et dataleak.
Samtidig stiller ISO 27001 også krav til at en organisation eller institution løbende skal tilpasse sine sikkerhedsforanstaltninger i takt med ændringer i organisationen, teknologi og trusselsbilledet for organisationen.
ISO 27001 er en international standard, hvilket betyder, at det kan påvirke organisationer med partnere på tværs af landegrænser. Standarden gør samarbejdet med andre lande mere flydende, da fælles sikkerhedsstandarder mellem lande ellers kan være en udfordrende procedure. Organisationer af en betydelig størrelse i EU, som håndterer personfølsomme data, bør bestemt overveje en ISO 27001 certificeret web udbyder.
Alle statslige myndigheder har siden 2016 skulle følge ISO 27001.
ISO 27001 i praksis hos Webto:
Informationssikkerhed, fysiske sikkerhed i datacentret og Onlinesikkerheden
Webtos hostingudbyder har været ISO 27001 certificeret siden marts 2015. Certificeringen skal fornyes én gang om året og revideres af både en intern og ekstern auditør, og man er derfor forpligtiget til at forblive up-to-date og på forkant med sine sikkerhedstiltag.
Vores hostingudbyder ser det som deres vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er et område, som både Webto og vores udbyder tager meget seriøst – på alle niveauer.
Formålet med denne artikel er at give dig et indblik i, hvordan Webto og vores udbyder sikrer vores fælles platform, så du som kunde har den nødvendige viden om, hvad ISO 27001 indbefatter. Her er nogle af de tiltag, som vores udbyder benytter sig af:
Organisering af sikkerhed
Vores udbyder har etableret et brancheledende informationssikkerhedsprogram (ISMS). Softwaren giver vores fælles platform og hosting-miljø den bedste beskyttelse, og fordrer den højeste grad af tillid. Programmet følger ISO 27001-sikkerhedsstandarden.
Politikker, procedurer og standarder
De har også defineret et sæt af politikker, procedurer og standarder for, hvordan de opererer i virksomheden og bedst passer på den datamængde, som florerer i deres system. Dokumenterne opdateres løbende i takt med, at trusselsbilledet ændrer sig. På den måde sikres det at man hele tiden prioriterer indsatsrn dér, hvor der er mest brug for den, afhængigt af en risikovurdering, der opdateres løbende, og som udgør kernen i vores informationssikkerhedsprogram og fælles platform.
Medarbejdersikkerhed
Udbyderen forsikrer os om, at alle medarbejdere og konsulenter med adgang til systemer og faciliteter er underlagt ISO 27001 sikkerhedspolitikker. Alle gennemgår obligatorisk undervisning, hvor de bliver præsenteret for alle relevante og aktuelle privacy- og sikkerhedsemner. Dette sker både ved start, og løbende gennem deres ansættelse. Formålet er at ruste medarbejderne til at modstå aktuelle trusler mod virksomhedens og kundernes data. For at højne det generelle niveau i branchen, og for at vedligeholde egne kompetencer, deltager vores medarbejdere aktivt i communities og ERFA-grupper. Webto opfordrer da til, i samarbejde med vores udbyder, at alle medarbejdere skal være på forkant med den nyeste udvikling, og til at erhverve de højeste certificeringer inden for sikkerhed, netværk, osv.
Dedikerede sikkerheds- og persondatakompetencer
Vores udbyder besidder en sikkerhedschef, som er ansvarlig for at implementere og vedligeholde informationssikkerhedsprogrammet. Interne revisorer gennemgår regelmæssigt sikkerhedssetup og rapporterer direkte til ledelsen. Interne, juridiske kompetencer inden for persondata sikrer, at persondata behandles efter de gældende regler både internt i virksomheden og på vegne af alle kunder samt den pågældende EU lovgivning.
Operationel sikkerhed – Beskyttelse af kundedata
Den vigtigste opgave i vores fælles sikkerhedsprogram er at passe godt på dine data og dine kunders data. For at opnå den sikkerhed er det samlede sikringsmiljøet som Webto indgår i, inddelt i flere lag:
Fysisk sikkerhed
Webtos udbyder har datacentre, som er state-of-the-art og placeret rundt omkring i Danmark. Du kan derfor være sikker på, at dine data bliver inden for landets grænser, og den deles aldrig med udlandet. Vores datacenterleverandør er ansvarlig for de fysiske rammer som fx strøm, køl, brandslukning og adgangskontrol, og vi fører skarp kontrol med, at vores underleverandører til en hver tid efterlever de gældende sikkerhedsregler på området.
Netværk
Udbyderens netværk er segmentet, så kunder er beskyttet mod hinanden og mod trusler, der bevæger sig på tværs i netværket. Next Generation Firewalls begrænser angreb mod kundernes miljøer, og DDoS-beskyttelse begrænser den påvirkning, som et evt. angreb måtte have på serverne. Avanceret netværksinspektion opfanger mønstre og angrebsforsøg fra kendte, ondsindede ip-adresser, og alarmerer vores driftsafdeling ved behov.
Logiske adgange
Vores udbyder forsikrer os for, at de kun tildeler rettigheder til de medarbejdere, der har brug for dem, og vurderer dem løbende. Kun særligt privilegerede medarbejdere har adgang til at administrere interne systemer, hvilket højner den interne sikkerhed.
Overvågning
Hele infrastrukturen og alle aktive services overvåges døgnet rundt. Alle afvigelser registreres i et incident management-system. Som supplement til overvågningen har de tilknyttet en 24/7-vagtordning. Således kan du altid være sikker på, at datacentrene er online og i sikre hænder. Den vagtordning fungerer i forlængelse af Webtos egen overvågning, og vi står altid klar til at fejlfinde og fixe, skulle uheldet være ude.
Logning
Der logges alle adgange til management og kundemiljøer. På den måde sikres der integritet og sporbarhed, og giver muligheden for at sammenkøre hændelser. Via en central logplatform sikres det, at der hurtigt kan korreleres logs fra mange forskellige kilder. Der er, så at sige, opsporing af alle handlinger som foretages i hosting miljøet.
Backup
Der udføres backup ud fra den indgåede SLA. Backupdata spejles altid mellem to fysisk uafhængige lokationer, så der altid er en tilgængelig kopi i tilfælde af et kritisk nedbrud. De to lokationer vil derfor aldrig være i karambolage med hinanden, og selv hvis et helt datacenter brændte ned – så ville dine data stadig eksistere sikkert på en tro kopi et andet sted i landet.
Beredskab og disaster recovery
Beredskab handler om at være forberedt på hændelser, som kan have kritisk eller katastrofal påvirkning på driften. Webtos udbyder har derfor beredskabsplaner, som fastlægger procedurer, rutiner og roller i tilfælde af en katastrofe. Medarbejdere trænes i beredskabet flere gange årligt. For at sikre vores tekniske infrastruktur, og sprede risikoen ved kritiske nedbrud, bruges der flere uafhængige datacenterleverandører. Der opbevares altid mindst én kopi af backupdata i et datacenter, som ikke har produktionsdata.
Webto’s håndtering af udbydere og underleverandører
For at vi, hos Webto, kan operere så effektivt som muligt, bruger vi både udbydere underleverandører til udvalgte services. Hvis udbydere eller underleverandørerne kan have påvirkning på vores sikringsmiljø, eller på et led i sikringskæden, så sørger vi for, at de efterlever samme strenge krav som os selv. Det gør vi via kontrakter, databehandleraftaler, revisionserklæringer, egenkontrol og fortrolighedsaftaler. Vi kontrollerer løbende, at vores udbydere og underleverandører efterlever kravene. Derfor er vi meget tilfredse med at kunne tilbyde en løsning der efterlever ISO 27001 standard.
Hovedområder i en ISO 27001 certificering:
Hvad består en ISO 27001 godkendelse egentlig af? Hvordan giver det værdi?
Ledelsessystem:
ISO 27001 kræver en systematisk tilgang, opbakning og kommunikation på ledelsesplan. Ledelsen skal fastlægge niveauet for sikkerhed i organisationen og acceptere de risici som befinder sig i organisationens pågældende marked/branche.
Ledelsen skal allokere ressourcer, definere politikker og strategier, definere roller og ansvar, og ledelsen skal løbende aktivt følge op på rapportering omkring sikkerheden.
Ledelsen skal foretage risikovurderinger, udarbejde informationssikkerhedspolitikker, udarbejde handlingsplaner og udarbejde/opdatere sikkerhedspolitikker. Derudover skal ledelsen udarbejde/opdatere retningslinjer, udarbejde/opdatere beredskabsplaner og gennemføre målinger på sikkerhed. De skal udarbejde/opdatere ledelsesrapporter på sikkerhed, samt vurdere og prioritere behov for ændringer i sikkerhedsarbejdet.
Informationssikkerhed integreres i den eksisterende organisation med eksisterende arbejdsgange, organiseringer, ansvarsfordelinger mv. Den øverste ledelse skal etablere en organisation til videre koordinering af informationssikkerhedsarbejdet, som igangsætter aktiviteter, følger op på implementering af politikker og retningslinjer, måler effekt og rapporterer tilbage til ledelsen.
Roller og ansvar:
Arbejdet med sikkerhed kræver tydelig rolle- og ansvarsfordeling mellem de relevante personer. Der er fire centrale roller i arbejdet med informationssikkerhed: Topledelsen, Informationssikkerhedskoordinatoren, Informationssikkerhedsudvalget, Systemejere.
Topledelsen har ansvaret for organisationens informationssikkerhed. Fokus skal være på sikkerhedens betydning for forretningen, og der skal sikres opbakning i hele ledelseslaget.
Organisationens topleder skal fastlægge sikkerhedsniveauet for organisationen. Toplederen har ansvaret for, at der er etableret et ledelsessystem for informationssikkerhed (ISMS), og at medarbejderne er kvalificeret til at arbejde sikkert med organisationens informationer.
Informationssikkerhedskoordinatoren er organisationens daglige sikkerhedsleder og fungerer som sekretær for sikkerhedsudvalget. Sikkerhedskoordinatoren får sine beføjelser fra topledelsen, og har primært tværgående koordineringsopgaver.
Ideelt set bør sikkerhedskoordinatoren referere direkte til topledelsen, men uanset den organisatoriske placering er det vigtigt, at koordinatoren har direkte adgang til topledelsen.
Sikkerhedsudvalget skal sørge for, at informationssikkerheden realiseres og efterleves i organisationen, og har det daglige ansvar for styring af informationssikkerheden.
At være medlem af informationssikkerhedsudvalget indebærer et ansvar, og forudsætter en nødvendig viden om ISO 27001, som er grundlag for organisationens informationssikkerhedsarbejde. Medlemmernes indsigt i standardens indhold og dækningsområde er væsentligt for sikkerhedsudvalgets arbejde og succes.
Systemejere har ledelsen udpeget som ansvarlige for de enkelte systemer og data. De mest sårbare forretningsområder for organisationens informationssikkerhed skal identificeres af de personer.
Ansvarlige for systemer og/eller data har også ansvar for informationssikkerhed knyttet til disse systemer og data. Systemejerne yder et væsentligt bidrag til, at organisationens interne brugere og eksterne kunder har adgang til de informationer, de skal bruge, når de skal bruge dem (tilgængelighed). Informationerne skal være korrekte og fuldstændige (integritet). Og følsomme informationer skal beskyttes mod uvedkommendes adgang (fortrolighed).
Risikostyring:
Risikostyring omhandler bevidstheden om, hvad der kan gå galt inden for den pågældende branche eller type af arbejde – og at sætte ind med handling, der sikrer, at det ikke går galt. Risikostyring er en proces, der bør foretages mindst en gang om året og processen er unik pr. virksomhed.
Risikostyring er den helt centrale proces i et ISO 27001 baseret ledelsessystem for informationssikkerhed (ISMS). Det er det værktøj, man benytter til at vægte indsatsen, så informationer beskyttes på et tilfredsstillende niveau med de givne ressourcer og økonomi.
Etablér en fælles risikoforståelse. Før man går i gang med at etablere en risikostyringsproces, bør man skabe forståelse og enighed om kontekst, myndigheden og risikostyringen i organisationen.
Byg en risikostyringsorganisation. Der er flere måder at organisere risikostyringen på, og oftest vil man tage afsæt i den allerede dannede organisation på informationssikkerhedsområdet. Det er afgørende at forme en organisation, som kan eksekvere risikovurderinger og træffe beslutninger på det rette niveau i organisationen.
Værktøjer til risikostyring. Risikostyring kan eksekveres med alt fra simple tekstdokumenter og regneark, til kommercielle integrerede it-systemløsninger.
Dokumentstyring:
ISO 27001 angiver nogle konkrete dokumenter, der skal være udarbejdet om styringen af informationssikkerhed. Desuden konstaterer ISO 27001, at dokumentationsbehovet afhænger af den konkrete organisations størrelse, typer af aktiviteter, kompleksitet og modenhed.
Kontrolleret dokumentation. Dokumentationen skal desuden være kontrolleret, hvilket betyder, at det skal være nemt tilgængeligt for autoriserede brugere. Det skal beskyttes mod uautoriserede brugere. Lagringssted, -medier og -metode skal besluttes for såvel digital som papirbåren dokumentation. Opbevaringsperiode og sletteprocedurer skal være fastlagt.
Uddannelse og awareness:
Skab en sikker adfærd i din organisation. Awareness er imidlertid at gennemføre tiltag, der skaber en ønsket adfærd. En god sikkerhedsadfærd handler ikke kun om medarbejdernes viden, kompetencer og intentioner, men i høj grad om adfærden omkring sikkerhed. Det handler om at opbygge procedure i hverdagen, til håndtering af data, som fordrer bestemte adfærdsmønstre. Det handler også om at gøre den ønskede sikkerhedsadfærd attraktiv og nem, så valgene ikke forstyrrer eller forsinker medarbejdernes primære funktion.
Et adfærdsændrende tiltag kan både bestå af uddannelses- og kommunikationsindsatser og/eller tekniske og organisatoriske foranstaltninger.
Evaluering og forbedring:
Organisationen skal løbende forbedre styringen af informationssikkerhed.
Man kan ikke vide, om et initiativ virker, om det bliver ved med at virke, eller hvor godt det virker, hvis man ikke evaluerer det. Det handler derfor i store træk om at opstille evalueringsprocesser for at sikre at man tager alle forbedringstiltag muligt.
Derfor er måling og gennemførelse af audit samt efterfølgende evaluering og forbedring en essentiel forudsætning for at forbedre ethvert ledelsessystem – også når det drejer sig om informationssikkerhed.
Et ledelsessystem for informationssikkerhed består af processer, der skal hjælpe med at udvælge, implementere og styre en række sikringsforanstaltninger, der beskytter informationer og forretningsprocesser. Hvis det skal sikres, at denne beskyttelse er effektiv, må der følges op på effektiviteten af sikringsforanstaltningerne og på kvaliteten af de processer, der styrer dem.
Det er det, ISO 27001 standarden refererer til, når der i afsnit 9.1 står, at “Organisationen skal evaluere informationssikkerheden og den resultatrelaterede effektivitet af ledelsessystemet for informationssikkerhed.
Leverandørstyring:
Det er afgørende, at der fastsættes passende sikkerhedskrav i kontrakter med leverandører.
Når en organisation overlader driften af sine it-systemer til en leverandør, kan der opnås en række fordele, såsom adgang til færdigheder, myndigheden ikke har in house samt bedre udnyttelse af interne ressourcer. Outsourcing sker dog på bekostning af direkte kontrol. Derfor er det vigtigt at sikre et højt sikkerhedsniveau gennem indirekte kontrolværktøjer som aftalegrundlag, statusmøder, måling, rapportering og revision.
Behandlingssikkerhed omhandler korrekt og sikker behandling af information, fx personoplysninger, hvilket blandt andet kan opnås gennem design og standardindstillinger. Tilsvarende ved leverandørstyring skal databeskyttelse gennem design og standardindstillinger indtænkes i fx it-systemer tidligst muligt
En af de væsentligste forudsætninger for leverandørstyring er, at man har et godt overblik over, hvilke leverandører, man har, og hvor kontrakterne er i deres livscyklus.
Adgangsstyring:
For at minimere risikoen for brud på fortroligheden, integriteten eller tilgængeligheden af organisationens informationer, er det vigtigt at arbejde med adgangsstyring.
Styring af adgangen til systemerne, og opfølgning herpå, er det grundliggende middel til at forhindre uautoriseret adgang til organisationens digitale informationer.
Systemdokumentationen skal, med udgangspunkt i risikovurderingen for systemet, forholde sig til adgangsstyring, herunder bruger-/rettighedsstyring, log over handlinger og gennemgang af denne, oprettelse og nedlæggelse af brugere og passwordadministration.
Brugerstyring og adgangsstyring er med til at sikre et tilfredsstillende niveau for informationssikkerhed.
Tildeling af privilegerede rettigheder vil i hovedreglen medføre særligt behov for instruktion af brugeren samt ekstra kontroller som fx logning og opfølgning.
Beredskabsstyring:
Beredskabsstyring etablerer processer, så organisationen kan opretholde et acceptabelt niveau for drift efter en hændelse.
Beredskabsstyring handler om at sikre forretnings- og informationssikkerhedskontinuiteten i tilfælde af en krise eller en katastrofe. Det kan fx. være som følge af et netværksnedbrud, et strømudfald eller andre uventede hændelser, som har betydning for organisationens informationssikkerhed. Det kunne fx være adgangen til it-systemerne. Det handler derfor om at være forberedt på det uventede ved at have en plan for, hvordan I skal agere, når krisen opstår.
Links:
ISO 27001 er sikkerhedsstandarden for statslige myndigheder (digst.dk)
ISO-måling i staten (digst.dk)
ISO 27001 implementering – her finder du overblik og hjælp (sikkerdigital.dk)
Ledelsessystem for informationssikkerhed (ISMS) (sikkerdigital.dk)
Roller og ansvar (sikkerdigital.dk)
Risikostyring – sådan arbejder du med at styre risici (sikkerdigital.dk)
Dokumentation (sikkerdigital.dk)
Adfærdsændrende indsatser uddannelse og awareness (sikkerdigital.dk)
Evaluering og forbedring (sikkerdigital.dk)
Leverandørstyring spiller en vigtig rolle i informationssikkerhed (sikkerdigital.dk)
Adgangsstyring – få kontrol med brugerrettigheder (sikkerdigital.dk)
Vores eksperter deler gratis ud af deres viden.
Få her gode råd, tips og tricks til din markedsføring og online tilstedeværelse fra vores eksperter.