Kai Ove Finvold er revisor i DNV og spesialisert på sikkerhetsstandarden ISO 27001. I likhet med sine kolleger har han lang fartstid fra informasjonsteknologi-feltet.
Siden midten av 1990 tallet har han jobbet som utvikler, konsulent og IT-sjef, og deretter fem år som revisor. ISO 27001 har vært hovedbeskjeftigelsen siden 2021.
– ISO 27001 inneholder virkemidlene som beskytter virksomheter mot digitale trusler. Standarden ser på ledelsessystemet ditt og hjelper deg få struktur på driften av egen organisasjon, sier Finvold.
ISO-standarden legger premissene for hva du skal gjøre, men forteller deg ikke hvordan.
– Dermed blir hvert system lagd etter skreddersøm. ISO 27001 er et styringsverktøy for hvordan du skal jobbe med sikkerhet på en måte som gir kontinuerlig forbedring, og i en form som utvikler organisasjonen, fremhever han.
En verdifull sparringspartner
Revisorens jobb er å hjelpe oppdragsgivere avdekke områder der de kan bli bedre.
– Det er høy fagkompetanse der ute, og de beste oppdragene er der vi kan lære av hverandre gjennom konstruktiv dialog. I mange virksomheter er det kun en person som har ansvar for sikkerheten, og her kan vi som revisor være en god sparringspartner, sier Finvold.
Dialogen er konfidensiell og går inn på områder som sikkerhetssjef ikke kan snakke med andre om. Oppgaven til revisor er dermed verifisere og bidra til forbedringer.
– Da jeg startet med ISO 27001 var det nesten utelukkende IT-bedrifter som ble sertifisert. Nå kommer alle typer virksomheter inn, sier han.
Årsaken er de mange nye kravene som virksomheter møtes med. I tillegg er en høy sikkerhetsstandard blitt en nødvendighet i anbud, spesielt om du skal levere til store virksomheter.
Hjelper deg lykkes før sertifiseringen
ISO-sertifikatet gjelder i tre år. Prosessen starter med en dokumentgjennomgang der revisorene kommer på besøk. Her ser en på kravene i standarden og sjekker at virksomheten har all dokumentasjon på plass.
– Det første besøket er en slags GAP-analyse som gir deg grunnlaget for hva du må jobbe med frem til selve sertifiseringsrevisjonen. På revisjonen verifiserer vi at ledelsessystemet er implementert. Det er en grundig prosess der vi går gjennom alle kravene i standarden.
Revisjonen vil være stikkprøvebasert. Revisor vil gjøre seg kjent med de overordnede retningslinjene, og at det foreligger prosedyrer, regler og sjekklister for IT-sikkerheten.
– Dette kan også handle om enkle ting som at det finnes skjermlås når ansatte forlater arbeidsplassen, rutinene for passord, og bruken av antivirusløsninger, sier Finvold.
En prosess som gjør deg bedre
Etter revisjon så kan kundene ha fått noen bemerkninger eller avvik.
– Disse må svares ut og aksepteres slik at det foreligger en god plan for at endringene implementeres innen en gitt periode. Når kundene har sendt inn sine svar der vi aksepterer deres løsningsforslag, så sendes alt til en technical review.
Dette er en slags komite/fagutvalg som aksepterer sertifiseringen basert på kravene i standarden.
– DNV er akkreditert og utsteder sertifiseringene. Det er vanntette skott mellom oss revisorer og de som godkjenner sertifikatet, påpeker han.
Når sertifiseringen er på plass, kommer det en årlig oppfølger.
– Denne prosessen tar kortere tid. Når du er ferdig med den andre oppfølgeren må du gjøre deg klar for resertifiseringen. Se gjerne på dette som en fast rutinene og en del av ditt arbeidsmønster som sikkerhetsansvarlig. Prosessen sikrer at du hele tiden blir bedre.
Sertifiseringen sparer deg for masse tid
ISO-sertifikatet er beviset på at din bedrift opprettholder de strengeste standarden og at det er kvalitet i alle ledd av driften. Slik dokumentasjon vil gjøre deg mer attraktiv som tilbyder, og det vil spare deg masse tid i anbudsprosesser der det stilles krav til dine rutiner.
– Og slike blir det stadig flere av. Har du sertifikatet i orden er det veldig mye mindre plunder og heft som må svares ut. Sertifikatene er en viktig investering som gir deg mye mer igjen enn hva du putter inn i det.
Kundene fremhever at revisjonsprosessen hever nivået på hele organisasjonen, og de blir flinkere til å identifisere de områdene som de kan bli enda bedre på.
– Det viktige stikkordet her er kontinuerlig forbedring. Du blir mer proaktiv og får innsikt i hvilke ressurser du behøver, og hvilken kompetanse du må tilegne deg.
ISO 27001 må være forankret i ledelsen
Derfor er det også nødvendig at sertifiseringsløpet er forankret i toppledelsen.
– Det er et eget kapittel i standarden med krav til ledelsens engasjement og kontroll. Det er et helt tydelig trekk at der ledelsen tar skikkelig ansvar så får en mest igjen for investeringene i sertifisering. Ledelsen må ønske at bedriften får denne sertifiseringen og de må sikre at det tildeles ressurser og at en har tilstrekkelig kompetanse på sikkerhet.
– Et viktig poeng med ISO 27001 er at den er risikobasert og den har et eget vedlegg som heter sikkerhetstiltak. Den ser på tiltakene som reduserer og fjerner risiko som er selve grunnlaget for ledelsessystemet ditt.
Disse kontrollene er detaljerte spørsmål. Når de er svart ut så har du en høy grad av kontroll med sikkerheten og du kjenner status i forhold til den risikoen og truslene som virksomheten møter.
– Du lærer masse om risiko og risikoanalyse når du jobber med ISO 27001, sier Finvold.