Evaluering og opfølgning

Et af præmisserne i ISO27001-standarden er, at organisationen løbende forbedrer sig i sin styring af informationssikkerhed. Det kræver, at organisationen sætter ressourcer af til evaluering og opfølgning på processer og metoder, så arbejdet er så effektivt som muligt.

Overvågning, måling, analyse og evaluering af informationssikkerheden er et krav i ISO27001 i forbindelse med evaluering af organisationens ledelsessystem for informationssikkerhed. 

Digitaliseringsstyrelsen har udgivet en vejledning i evaluering og opfølgning, der giver metoder og understøttende værktøjer til at kunne evaluere organisationens styring af informationssikkerhed, vurdere værdien af arbejdet med ISO27001 og give input til, hvordan organisationen kan arbejde med forbedringer og opfølgninger på de besluttede aktiviteter.

Hent

ISO 27001-modenhed

Digitaliseringsstyrelsens har udviklet et værktøj til afdækning af organisationens modenhed i forhold til ISO27001. Benchmark ISO27001 er et værktøj, som kan benyttes til at opnå et overbliksbillede over, hvor langt organisationen er nået i anvendelse og efterlevelse af ISO 27001. Værktøjet gør det muligt at sammenligne det aktuelle modenhedsniveau med organisationens ambitioner på området. Dermed kan værktøjet benyttes til planlægning af det videre arbejde med informationssikkerhed og fungere som ledelsesværktøj til forståelse, vurdering og løbende forbedring af det interne informationssikkerhedsniveau.

Hent

ISO 27001-selvevaluering

Model til ISO 27001-selvevaluering er udviklet til at understøtte arbejdet med implementering af ISO27001 og kan bruges til en selvevaluering af, hvor langt organisationen er i denne proces. Værktøjet er designet som en hjælp til at holde styr på de forskellige krav fra standarden, samt den implementeringsgrad den pågældende organisation har.

Værktøjet kan benyttes som et levende dokument til løbende forbedring af det interne overblik og forståelsen for organisationens sikkerhedsniveau.

Det vil også være muligt at se, hvilket led af styringssystemet der er implementeret indenfor hvert område. En organisation kan fx være godt med både i planlægningen og udførelsen på de fleste områder, hvorimod revurderinger og opfølgningsarbejdet bliver nedprioriteret.

Det kan være helt i tråd med organisationens strategi og budget for styringen af sikkerheden, men det essentielle er, at der skabes klarhed over niveauet, så de rette udviklingspunkter vælges i fremtiden, og organisationens sårbarheder kendes.

Hent