Mange virksomheter har etablert et styringssystem for informasjonssikkerhet (ISMS) basert på ISO 27001. Et spørsmål vi ofte får er om det er tilstrekkelig for å følge personvernregelverket (GDPR)? Svaret er nei, ikke alene.
GDPR stiller krav som går utover det ISO 27001 dekker, blant annet at behandlingsansvarlige skal føre behandlingsprotokoll, at de skal gjennomføre vurderinger av personvernkonsekvenser, og at de skal regulere sine databehandlere med databehandleravtaler.
Når vi snakker om styringssystemer, så gir følgende artikler føringer for at både behandlingsansvarlige og databehandlere bør ha et styringssystem for informasjonssikkerhet og personvern:
- Artikkel 24 («internkontrollartikkelen») krever at behandlingsansvarlige skal gjennomføre tekniske og organisatoriske tiltak som både sikrer og påviser etterlevelse.
- Artikkel 28 («databehandlerartikkelen») krever at bare databehandlere som gir tilstrekkelige garantier for etterlevelse skal benyttes.
Utgangspunktet er altså et ISMS som baseres på ISO 27001. Det dekker arbeidet med informasjonssikkerhet. For å dekke arbeidet med personvern, så må vi i tillegg ta i bruk ISO 27701. Det er en standard som bygger på ISO 27001, og legger til krav om personvern. Samlet sett inneholder disse to standardene tilstrekkelig med krav og sikkerhetstiltak til å utforme et styringssystem for informasjonssikkerhet og personvern.
Noen virksomheter ønsker bare å ha et grunnleggende på plass, andre ønsker å sertifisere styringssystemet så de kan dokumentere faktisk etterlevelse. Den beste dokumentasjon på etterlevelse har virksomheter som er både ISO 27001 og ISO 27701 sertifiserte.
Uansett ambisjonsnivå hjelper Move Cybersecurity din virksomhet med å få kontroll på styringen av arbeidet med informasjonssikkerhet og personvern. Her kan du lese mer om Move Cybersecurity.
Fyll ut skjemaet om du ønsker å vite mer om hvordan vi kan hjelpe deg og din bedrift.
Roy Allan Hansen
