Informasjonssikkerhet

Sikkerhetsrevisjon

Sikkerhetsrevisjoner, gap-analyser og evalueringer er effektive verktøy for å kartlegge virksomhetens internkontroll innen informasjonssikkerhet.  

Virksomheter er i dag underlagt en rekke krav og føringer som kommer fra ulike hold. Dette kan være seg regulatoriske krav som er vedtatt i lov og forskrift, standarder eller bransjenormer virksomheten skal følge, krav fra kunder og samarbeidspartnere, eller interne retningslinjer og føringer virksomheten har satt seg.  

Å sikre etterlevelse av krav og overholdelse av regelverk er en viktig del av virksomhetsstyringen. Det skal bidra til å sikre at virksomheten beskytter sine verdier og når sine strategiske og operative mål. Revisjoner og evalueringer er effektive verktøy for å kartlegge tilstanden innenfor ulike områder i virksomheten og avdekke eventuelle behov for å iverksette tiltak.  

Hvilken type revisjon passer for din virksomhet? 

I BDO har vi lang erfaring med å utføre revisjoner, gap-analyser og evalueringer for å gi en objektiv og uavhengig uttalelse av dagens situasjon og risikobilde knyttet til området i fokus. Aktiviteten skreddersys din virksomhet, og omfanget tilpasses virksomhetens størrelse og preferanser.  

I BDO bistår vi våre kunder med å gjennomføre:  

• Førstepartsrevisjoner som er revisjon av interne forhold for å evaluere måloppnåelse, etterlevelse eller forbedringspotensial i virksomheten.   
• Andrepartsrevisjoner som er revisjon av virksomhetens kontraktspart eller annen samarbeidspartner for å evaluere dennes etterlevelse av krav og plikter. 
• Tredjepartsrevisjoner som er revisjon av virksomhet for sertifisering, offentlig tilsyn eller oppfyllelse av regulatoriske krav til særlig uavhengige revisjoner. 

Våre rådgivere har erfaring med en rekke lovverk, standarder og andre rammeverk, som blant annet ISO/IEC 27001/27002, NSMs grunnprinsipper for IKT-sikkerhet, sikkerhetsloven med forskrifter, IKT-forskriften, GDPR og ISAE 3000/3402. 

Sikkerhetskultur

Menneskelige feil er en av hovedårsakene til at uønskede hendelser rammer en virksomhet. For at din virksomhet skal være i stand til å oppdage og avverge hendelser er det viktig å skape en god sikkerhetskultur, og jobbe systematisk med opplæring og bevisstgjøring. 

Hvorfor er det viktig å skape en god sikkerhetskultur?  

En god sikkerhetskultur skaper en større forståelse for hvilke risikoer og trusler virksomheten din står overfor, og hvilke problemstillinger medarbeidere kan møte på i løpet av en arbeidsdag. Videre vil dette bidra til at virksomhetens sikkerhetstiltak etterleves.  

Hva kan BDO bistå med?  

BDO leverer tjenester med formål om å øke bevisstheten, og gjøre virksomheten bedre rustet for å møte fremtidige utfordringer. Felles for våre tjenester er at de kan skreddersys for din virksomhets behov og målgruppe, for å sikre et best mulig utbytte av aktivitetene. Våre kompetansehevende tjenester kan leveres enkeltvis, eller som et fullverdig bevisstgjøringsprogram med ulike aktiviteter som strekker seg over en lengre periode.   

Her et utvalg av våre kompetansehevende tjenester: 

• Kartlegging og måling av virksomhetens sikkerhetskultur 
• Utarbeidelse av bevisstgjøringsprogram 
• E-læringskurs og fysiske kurs  
• Seminar, foredrag og workshops  
• Simulerte nettfiskeangrep  
• Utarbeidelse av innhold til ulike kanaler  

Styringssystem

Et styringssystem for informasjonssikkerhet er et viktig verktøy for å sikre at din virksomhet har god styring og kontroll med informasjonssikkerhet.  

Alle virksomheter har informasjonsverdier de er avhengige av å ha kontroll på. I tillegg er alle virksomheter i ulik grad omfattet av sikkerhetskrav fra myndigheter, kunder, leverandører eller andre. Kravene til din virksomhet kan gjelde beskyttelse av f.eks. nasjonal sikkerhet, samfunnssikkerhet, personvern, opphavsrett, forretningshemmeligheter eller kontinuiteten i kritiske leveranser. 

For at virksomheten skal oppnå et riktig sikkerhetsnivå er det avgjørende at informasjonssikkerheten styres på en systematisk måte. Dette innebærer at styringen er godt integrert med virksomhetsstyringen for øvrig, og at det er tilstrekkelig dokumentert. Et ledelsessystem (styringssystem) for informasjonssikkerhet som er tilpasset risikoen og egenarten i din virksomhet, er et viktig hjelpemiddel for å oppnå det.

Hva kan BDO bistå med?  

Våre rådgivere har lang erfaring med å utvikle og implementere styringssystem for informasjonssikkerhet som tilpasses virksomhetens behov og integreres med virksomhetsstyringen for øvrig.  

I dette arbeidet kan vi blant annet bistå med å:  

• Evaluere virksomhetens eksisterende styringssystem  
• Analysere interessenter, behov, krav og forventninger 
• Utarbeide sikkerhetsmål og prinsipper for informasjonssikkerhet  
• Definere roller og ansvar innen informasjonssikkerhet  
• Gjennomføre risikoanalyser  
• Utarbeide styrende dokumenter på alle nivåer i dokumenthierarkiet