Hva betyr sertifiseringen – og hva betyr den ikke?
ISO 27001 handler ikke om å sette et kryss i boksen for «sikker». Vi har ikke nødvendigvis blitt sikrere nå enn vi var uken før vi fikk sertifiseringen. Det motsatte av å være sertifisert etter ISO 27001 er heller ikke at man er «dårlig på sikkerhet», men at man ikke følger en spesifikk metode for å jobbe systematisk med informasjonssikkerheten.
Å være ISO 27001-sertifisert handler heller ikke om at man har nådd et objektivt fastsatt sikkerhetsnivå. Sertifiseringen handler om prosess, organisasjon og kultur, og hvorvidt man jobber planlagt, helhetlig og metodisk med informasjonssikkerhet. Det handler rett og slett om å jobbe systematisk – ikke ad hoc.
Hva vil det si å jobbe systematisk?
Når vi snakker om å jobbe systematisk, tenker vi på dette: Å jobbe strukturert, planlagt og metodisk – etter en definert prosess eller standard – slik at vi ikke overlater ting til tilfeldighetene. Dette handler ikke om kvalitet i seg selv. Det handler om hvordan vi jobber for å oppnå kvalitet, tilpasset vår virksomhet, våre tjenester og våre brukere.
Sertifisering er kontekstavhengig
To virksomheter kan være ISO 27001-sertifisert uten å ha akkurat samme sikkerhetsnivå. Hvorfor? Fordi kravene i standarden skal tolkes ut fra konteksten virksomheten opererer i. Det som er riktig sikkerhetstiltak for et kjernekraftverk, er ikke nødvendigvis riktig for en helseteknologibedrift som Aidn.
Standardens krav er derfor like – men tiltakene som velges, tilpasses risikoene og behovene i hver enkelt virksomhet.
Om sikkerhetstiltak og Annex A
ISO 27001 inneholder en liste over sikkerhetstiltak i Annex A, som mange tror er en komplett sjekkliste. Det er den ikke. Den er en referanseliste – et verktøy for å vurdere relevante tiltak. Vi velger tiltak basert på risiko, nytteverdi og kontekst – ikke fordi noen har sagt at vi må implementere alt som står i en liste.
Dokumentasjon uten byråkrati
ISO 27001 krever at vi dokumenterer hvordan vi jobber. Det betyr ikke at vi må bli byråkratiske og trege. Tvert imot: Når vi har tydelige rutiner for det vi gjør ofte, unngår vi å gjøre det på ti ulike måter. Det gir bedre oversikt, mer forutsigbarhet og styrker robustheten vår når det virkelig gjelder.
Vi skal ikke lage dokumenter for dokumentenes skyld. Vi skal lage dem fordi de hjelper oss å jobbe bedre. Og hvis noe ikke fungerer – ja, da endrer vi det. Vi eier prosessene våre. Ikke omvendt.
Trygghet i verdikjeden
Aidn leverer tjenester som er kritiske for kommunenes helsetjenester. Derfor må vi også være trygge i hele verdikjeden. ISO-sertifiseringen gjør det enklere for kommuner å vurdere oss som leverandør – og gir et tydelig signal om at vi tar ansvar for sikkerheten vår.
Når vi i tillegg har tydelige avtaler, ansvarsmatriser og felles forståelse av hvordan vi beskytter informasjon, legger vi til rette for trygge og effektive helsetjenester til innbyggerne.
Åpenhet og forbedring – alltid
Vi ønsker å være åpne om hvordan vi jobber med sikkerhet. Derfor har alle kundene våre tilgang til sikkerhetsportalen vår. Noen bruker den aktivt. Andre liker bare å vite at den finnes. Begge deler er helt greit.
Vi følger prinsippet om kontinuerlig forbedring – Plan, Do, Check, Act (PDCA). Vi evaluerer, justerer og forbedrer hele tiden. Det handler ikke bare om å måle hva som virker, men også om å vurdere om det er relevant. Effektive tiltak er ikke nødvendigvis riktige tiltak – og det er her risikovurderingene våre kommer inn.
Hva skjer videre?
Aidn er sertifisert frem til 2028. Før det får vi årlige oppfølgingsbesøk fra revisorene. De skal se at vi faktisk jobber med kontinuerlig forbedring – og at sikkerhetsarbeidet vårt er levende, relevant og tilpasset Aidn.
Har du spørsmål?
Vi håper dette gir deg bedre innsikt i hva ISO 27001 betyr for oss – og hvorfor det betyr noe for deg.
Har du spørsmål eller tanker du vil dele? Bare si fra – vi hører gjerne fra deg!
Og hvis du er på Arendalsuka: Vi kommer til å snakke mer om informasjonssikkerhet der. Sjekk programmet vårt for detaljer!
