Ledningssystem för informationssäkerhet – ISO 27001 – införs för att företag vill bevara konfidentialitet, riktighet och tillgänglighet för sina informationstillgångar. Det betyder att den viktigaste och mest betydande informationen säkerställs.
Krav på att en dokumenterad lagförteckning finns och bevakas beträffande förändringar och att lagefterlevnadskontroll genomförs ställs inom standarden ISO 27001.
ISO 27001 – det här behöver du veta gällande lagbevakning
Företag inför ofta ett ledningssystem för informationssäkerhet för att man vill säkra viktig information i företaget vad gäller konfidentialitet, riktighet och tillgänglighet. Genom att arbeta med en riskhanteringsprocess eliminerar eller reducerar man riskerna runt förlust eller försämring av ovan nämnda kriterier. Nedan listar vi exempel kopplade till författningskrav.
Exempel inom författningar för ISO 27001
I informationssäkerhetspolicyn ska författningskrav beaktas.
Stickprovskontroller för att upptäcka obehörig åtkomst till informationstillgångar ska utföras. Detta ska göras med beaktande av gällande författningar förstås.
Bakgrundskontroller på nya medarbetare ska göras i enlighet med gällande författningar. Dessa kontroller görs förstås om företaget har behov av att medarbetarna bakgrundskontrolleras. Kontrollerna kan vara allt från referenser till skarpare information från myndigheter.
Skydd av personlig integritet och personuppgifter ska säkerställas enligt gällande författningar. Här gäller GDPR som är en EU-förordning. I Sverige finns fler författningar runt detta och ibland står andra författningar över GDPR. Dessa ska identifieras.
Säker utvecklingsmiljö ska tillämpa författningskrav. Detta kan vara att vissa krav ska beaktas för att förenkla för funktionsnedsatta.
Kryptering får bara användas i enlighet med gällande författningar i respektive land. Det finns länder som inte tillåter kryptering på hårddiskar etcetera när man reser in i landet, detta ska alltid beaktas.
Avtal runt tystnadsplikt ska beakta tillämpliga författningar. Företaget kan inte avtala bort författningskrav runt medarbetarens rätt under anställningen.
Författningar som styr proprietära programprodukter ska följas. Detta innebär exempelvis att man kontrollerar att öppen källkod är tillåten att användas kommersiellt och följer villkoren som gäller för respektive öppen källkod.
Gällande lagstiftning ska identifieras, dokumenteras och hållas uppdaterade.
Sammanfattningsvis: Inom ISO 27001 ställs det krav på en dokumenterad lagförteckning och att efterlevnadskontroll genomförs som dokumenteras som belägg för resultaten av utvärderingen.
Tips!
Om du har en lagbevakningstjänst – se till att du med den kan koppla dina informationstillgångar mot gällande lagstiftning (och att du kan genomföra efterlevnadskontroller i den). Att tagga dina utvecklingsprojekt med respektive författningskrav är också ett smart tips.