Hvordan vi støtter standarden for ISO 27001 – Informasjonssikkerhet, og GDPR (art.24,1)

Innenfor GDPR er det et sterkt krav om å sikre personvernet med ’tilstrekkelige’ tiltak. For å identifisere dette er det en fordel å inkludere ISO 27001 og gjennomgå risikoområdene dine, samt bruke kontrollene som definert i standarden som utgangspunkt for slike tiltak.
Dette for å kunne redusere risikoer, hvor et potensielt sikkerhetsbrudd trolig kan utvides til, eller til og med kan inkludere, et reelt brudd på personvernet.


Hva er ISO 27001?

Dette er et standardisert administrasjonssystem for informasjonssikkerhet, som basert på forventningene til interessentene dine, reduserer risikoen mot disse forventningene, gjennom definerte retningslinjer og sikkerhetstiltak, som kan revideres og har kontinuerlig forbedringssyklus. Det inkluderer også prosesser for å håndtere endringer, uønskede hendelser og katastrofer, samt kriminelle brudd.


Her er noen av våre standard sikkerhetstiltak:

  1. Nettsteder:
    Alle bruker HTTPS / SSL
  2. Brukerpålogginger (Våre Nysalgs Portaler):
    Ikke tillatt. Vi lagrer ikke brukerinformasjon for å unngå sikkerhets- eller personvernbrudd.
    Administratorene våre bruker 2FA.
    Brukerpålogginger (Vår ordre og CRM-systemer): Administratorene våre bruker 2FA.
    Våre kunder vil alle bruke 2FA for sin neste innlogging.
    Den første pålogging / registrering for kunden, kan bare skje via validerte e-post eller via vår administrator.
  3. Sikkerhetskopier:
    Alle nettsteder er kryptert og sikkerhetskopiert regelmessig.
  4. Kontinuitetsstyring:
    Vi tar også sikkerhetskopi av forekomstene våre og kan omfordele eller flytte dem mellom Amazon EU-regioner når det er ønskelig.
    Vi dupliserer våre få viktige ressurser med loggførte og kontrollerte tiltak for å sikre kontinuitet.
    Vi opprettholder all utvikling i internt kontrollerte miljøer, med spesifikk kontroll på kildekodeprosessene.
    Vi kartlegger ferdigheter på tvers av utviklerne våre, for å sikre at vi kan involvere tidligere kodeendringer på nytt når det er nødvendig.
  5. Endringshåndtering for å unngå digital gjeld:
    Vi endrer aldri kjerneprogrammene våre, men implementerer endringer gjennom overstyringer, plugins eller andre moduler. Dette har også fordelen at vi alltid kan oppgradere dem, uten å måtte endre kjernekoden på nytt.
    Vi holder alle kjernesystemene våre oppdatert basert på deres relevante tilbakemeldinger om modenhet fra ulike brukerforum og media.
    Dette for å sikre maksimal tilgjengelighet og mindre hendelser.
    Vi søker også proaktivt informasjon om potensielle nye sårbarheter for et av kjernesystemene våre.
  6. Andre sikkerhetstiltak:
    Vi bruker alle forventede standarder for vår epostsikkerhet.
    Vi bruker Googles usynlige Captcha for alle nettskjemaene våre.
    Vi har kontrollerte prosesser for brannmurer og DNS.
    Vi har kontrollerte prosesser for all vår infrastruktur, også ved å bruke AWS sikkerhetstiltak.
    Vi har prosesser for innkommende spam, phizing, AV, malware og andre sårbarheter.
    Vi har prosesser for å identifisere CyberAttacks og gjør sikkerhetsskanning.
  7. Organisasjonssikkerhet:
    Vi tar i bruk kontroller fra ISO 27001-standarden og har implementert sikkerhetskontroller, NDA-er og retningslinjer der det betydde mest.
    Vi fortsetter å spore mot full overensstemmelse med ISO 27001-standarden.
  8. Håndtering, brudd og katastrofebehandling:
    Vi har overvåking og prosesser på plass for å svare på eventuelle hendelser i tilfelle de skulle oppstå. (Ikke mye av det på AWS.)
  9. Hva mer?
    Vi vil fortsette å undersøke og samkjøre med andre ISO og sikkerhets -standarder, samt kontinuerlig forbedre våre interne kontroller og mottiltak, mot stadig økende antall cyberangrep globalt og eventuelle andre sårbarhetspunkter når disse blir kjent.