En ISO/IEC-27001 certificering kræver i den grad blod, sved og tårer

Af: Steen Sønderby, Product Development Director i Visma Enterprise

Som en af landets førende leverandører af HR- og lønsystemer, der berører mere en +200.000 arbejdstagere i Danmark, har informationssikkerhed altid stået meget højt på agendaen hos os i Visma Enterprise Danmark.

Som Product Development Director er jeg blandt andet ansvarlig for, at vi er i stand til at imødekomme de stadig højere krav fra vores kunder om hurtigere og nemmere at kunne dokumentere compliance i hele vores værdikæde. Og efter at GDPR er kommet på agendaen i rigtig mange virksomheder er informationssikkerhed noget, som vores kunder i den grad efterspørger. Derfor har det været vigtigt for os at blive ISO/IEC-27001 certificeret.

Det handler om tillid

Informationssikkerhed handler om tillid og om, at vi på troværdig vis kan bevise over for vores kunder, og ikke mindst deres medarbejdere, at vi har styr på at opbevare deres følsomme data forsvarligt.  Det kan vi med denne høje sikkerhedsstandard. Samtidig passer certificeringen fint ind i vores ambition om at være markedsleder inden for HRM-løsninger og -services til det danske enterprise-marked.

Implementeringen af en ISO/IEC-27001

Når vi indfører et så omfattende ledelsessystem, som ISO/IEC-27001 indeholder, kræver det fokus og accept i hele organisationen. Det har også krævet en moden organisation, som er i stand til og villig til at afsætte de nødvendige ressourcer. Og det gælder alle afdelinger i organisationen. Det er med andre ord ikke et projekt, som en udvalgt skare fra vores IT-afdeling har sørget for. Alle afdelinger har igennem det seneste år afsat ekstra ressourcer til at dokumentere afdelingens arbejdsgange, processer og håndtering af data, både in-house og hos eventuelle underleverandører. Jeg er dybt imponeret over alle vores medarbejdere, der i den grad har trådt i karakter i denne proces.

Med denne her ISO-certificeringsproces har vi simpelthen hævet barren og styrket forståelsen og bevidstheden for optimal informationssikkerhed internt i hele organisationen. Det er først og fremmest en gevinst for alle vores medarbejdere, som er i direkte kontakt med kunderne. Vores rådgivere har efterspurgt, hvordan de nemt og hurtigt kan dokumentere vores compliance over for kunderne, og det kan de med denne nye ISO-certificering.

Få kollegaerne med

Det handler om, at ISO/IEC-27001-implementeringen sætter os i stand til selv at fastsætte niveauet for, hvordan vi organiserer og styrer informationssikkerheden, så vi hele tiden kontrollerer os selv, hvilket minimerer risikoen for sikkerhedsbrister. I den forbindelse vil jeg gerne understrege, at den største opgave for vores security team helt klart har været at få deres kollegaer i resten af organisationen til at forstå, hvorfor det er vigtigt at afsætte tid og ressourcer, i en i forvejen travl hverdag, til at dokumentere hvordan og hvorfor, de opbevarer og håndterer følsomme data.

Hele processen har krævet, at vi har skullet allokere rigtig mange medarbejdere og ressourcer over en lang periode. Og samlet set har certificeringen da også krævet en tocifret millioninvestering. Men når man har med følsomme data for ansatte i mere end 1500 danske enterprise-virksomheder at gøre, så er beslutningen om at indføre det bedste ledelsessystem for informationssikkerhed på markedet egentlig indiskutabel.