Organisationens kontekst

Et af de første og vigtige skridt i arbejdet med ISO27001 er at skabe et overblik over den organisation og den forretning, der skal arbejde med standarden.

Etablering af forretningsoverblikket er forudsætningen for at kunne etablere og organisere et ledelsessystem for informationssikkerhed, som passer til organisationen og dens udfordringer, ressourcer og ambitioner.

I ISO27001-sprog hedder det organisationens kontekst.

Vejledning i etablering af forretningsoverblik

Vejledningen beskriver kort de vigtige elementer i at kortlægge organisationens kontekst og giver et eksempel på hvordan denne kan nedfældes i et forretningsoverblik.

Forståelsen af egne informationsaktivers forretningsmæssige betydning kan opnås igennem en overordnet vurdering af, hvordan risikobilledet i forhold til informationsaktiver er påvirket af:

  • Typen af organisationsudøvelse (politikudvikling, retsdannelse, afgørelse af sager, ”faktisk forvaltning”)
  • Organisationens formål og mål
  • Organisationens opbygning
  • Den geografiske placering
  • Teknologianvendelsen.

Et andet væsentligt element er omverdenen:

Hvem er organisationens væsentligste interessenter? Og hvilke af disse kan have en interesse i, hvordan organisationen beskytter sine informationsaktiver? Er der deciderede krav til tilgængelighed, fortrolighed eller integritet af data?

Eksempler på interessenter, der kan have en sådan interesse er:

  • Borgere, der har overladt (personlige) oplysninger til organisationen
  • Politiske aktører, der medvirker i det lovforberedende arbejde
  • Andre organisationer, med hvem der udveksles oplysninger
  • Leverandører, der behandler oplysninger på vegne af organisationen

Endelig skal scoopet fastlægges for styringen af informationssikkerheden:

  • Er hele ministerområdet omfattet af alle dele af ISMS’et, eller differentieres der fx på forretnings- eller organisationsområder?
  • Er alle geografiske lokationer omfattet?