ISO27001 og relaterede standarder giver et godt og helhedsorienteret blik på informationssikkerhed . Man starter med at identificere de aktiver og værdier, man ønsker at beskytte, og hvorfor. Og så finder man de trusler, der kan påvirke værdierne negativt, samt hvor man særligt er sårbar. Det giver en samlet risikovurdering, som gør organisationen i stand til at prioritere forebyggende foranstaltninger på en risikobaseret måde.
Med informationssikkerhed er der aldrig tid, penge eller ressourcer nok. Men med en risikobaseret og lean tilgang kan man komme langt. Jeg kan bistå med at opbygge en SoA (Statement of Applicability) og et Årshjul på baggrund af ISO27002/2022. Jeg fokuserer på at få aktiviteter relateret til informationssikkerhed udført mere overskueligt, og så det er nemmere at prioritere.
Derudover kan jeg hjælpe jeres projektledere med at forstå hvorfor og hvordan de skal implementere “Informationssikkerhed i projekter” jf. afsnit 5.8 i ISO27002/2022. For eksempel vil det være en god idé at starte med en data-klassifikation (jf. afsnit 5.12) for fortrolighed, integritet og tilgængelighed. Og på den baggrund udføre relevante projektaktiviteter, såsom ISO-systemrisikovurdering, og (hvis der behandles persondata) GDPR Risikovurdering og evt. GDPR Konsekvensanalyse. Dette vil være udgangspunktet for at stille krav til systemet.
Min styrke er facilitering og design af processer, samt risikovurderinger, såvel som prioritering af ressourcer. Jeg har desuden en årelang erfaring som IT projektleder, som er en styrke, når informationssikkerhed skal indtænkes i projekter fra starten, jf. privacy by design hhv. security by design.