Sentor integrerar GDPR compliance i ISO 27000-arbetet

Många organisationer står inför en stor utmaning när de ska efterleva kraven i den nya dataskyddsförordningen (GDPR) och ställer sig frågande till HUR detta ska göras. Sentor meddelar idag att företaget integrerar efterlevnadsarbetet kring GDPR inom ramen för ISO 27000 genom att använda det etablerade ramverket för att hantera den nya uppsättning av risker som GDPR medför.

Den 25:e maj 2018 börjar den nya Dataskyddsförordningen, General Data Protection Regulation (GDPR), att gälla i EU:s medlemsländer och ersätter då Personuppgiftslagen i Sverige. GDPR fokuserar på att stärka skyddet för den enskilda individen och ställer samtidigt utökade krav på organisationer som behandlar personuppgifter, vilket i princip alla organisationer gör i någon utsträckning.

Genom att hota med böter på upp till fyra procent av organisationens globala årsomsättning eller 20 miljoner Euro har EU bestämt sig för att slå näven i bordet och ge organisationer tillräckligt med motivation för att i ännu större omfattning ta tag i arbetet som rör skyddet av personlig data och integritetsaspekterna kring det.

Eftersom det är en helt ny lag som träder i kraft är det få som vet HUR de ska agera eftersom det inte finns någon tydlig praxis att luta sig mot. Det får till följd att många söker sig till jurister för att få hjälp med att tolka lagen. Som tur var finns det redan en standard som många organisationer arbetar efter för att skydda information.

GDPR hanteras inom ramen för informationssäkerhetsstandarden ISO 27000

ISO 27000 är en internationellt erkänd standard som redan har verifierats av experter runt om i världen som hjälper organisationer som strävar efter förbättrad kontroll över informationssäkerheten. Genom att tillämpa standarden kan organisationer på ett bättre sätt identifiera risker och införa lämpliga kontroller för att minska riskerna. GDPR innebär en ny uppsättning risker som ska hanteras i ISO-arbetet där befintliga processer och rutiner redan tillgodoser lagkrav och dylikt. Det innebär att arbetet med efterlevnad inte skiljer sig åt i särskilt stor utsträckning.

- GDPR ställer höga krav men ger liten vägledning i hur man praktiskt ska gå tillväga. Med ISO 27000 inför man de verktyg som krävs för att på ett strukturerat och metodiskt arbetssätt efterleva nya krav. Genom kontinuerlig förbättring säkerställer man att nya risker hanteras på ett konsekvent sätt och att ledningssystemet fyller sin funktion, säger Jörgen Elovsson, senior informationssäkerhetskonsult på Sentor.

- Ett bra exempel är incidenthantering. GDPR ställer krav på rapportering inom 72 timmar från upptäckt av personuppgiftsincident. Då incidenthantering naturligt ingår i ISO 27000 krävs mindre förändringar för att uppnå GDPR-efterlevnad. Behörighetshantering är ytterligare ett exempel som ingår i ISO 27000 och som formellt måste dokumenteras för att leva upp till GDPR-kraven, fortsätter Jörgen.

GDPR compliance är nu en del av Sentors ISO 27000-erbjudande

I dagsläget stöttar Sentor flertalet organisationer i arbetet med att nå efterlevnad enligt GDPR. Erfarenheterna från tidigare projekt visar på vikten av att ha struktur i sitt informationssäkerhetsarbete för att uppnå ett gott resultat. Därför integreras nu GDPR-arbetet i Sentors ISO 27000-erbjudande.

- Eftersom överlappningen är så pass stor mellan GDPR och ISO 27000 tycker vi att man ska utgå från ledningssystemet och fokusera på ROSI (Return on Security Investment) istället. Kostnaderna för GDPR compliance är relativt små med ISO 27000 men kan bli kännbara utan ISO 27000. Ledningssystemet innehåller redan en rutin som säkerställer att kontrollerna fungerar, vilket är någonting som GDPR kräver, säger Jörgen.

Under hösten kommer ett flertal av Sentors kunder fortsätta med GDPR-arbetet inom ramen för ISO 27000 och intresset bland nya intressenter är stort.

- Vi märker att intresset är stort och att många kunder väljer oss av den enkla anledningen att vi på ett tydligt sätt kan visa ’hur’ de ska ta sig an den här utmaningen. För osäkra tolkningar av lagen har vi ett nära samarbete med en juristpartner för att säkerställa att vi arbetar på rätt sätt, avslutar Jörgen.

Kontaktperson

Tomas Wahlstedt
Marketing Manager
tomas.wahlstedt@sentor.se
0707 573 009

Om Sentor

Sentor erbjuder innovativa managerade säkerhetstjänster till kunder över hela världen. Med ett Security Operations Center bemannat av säkerhetsanalytiker 24/7 och med den senaste teknologin på marknaden, kan Sentor upptäcka och blockera attacker för våra kunder i nära realtid. Sentor har även ett team av högkvalificerade säkerhetskonsulter som stöttar företag med tjänster inom informationssäkerhet och teknisk IT-säkerhet.