Standard för informationssäkerhet och dataskydd, GDPR
Informationssäkerhet handlar bland annat om att förhindra att information läcker ut, förvanskas eller förstörs. Men det handlar också om att information blir tillgänglig när den behövs. Nu finns en ny ISO-standard som ska bidra i organisationers dataskyddsarbete och hantering av personuppgifter.
– Det här är en efterlängtad del som tidigare saknats. Arbetet startade 2016 och 48 länder har samverkat. Genom att ha tydliga interna rutiner och följa en standard för informationssäkerhet minskar riskerna för att organisationer missar något viktigt eller att ett misstag begås, säger Anders Lindberg, projektledare, SIS.
Begreppet omfattar information tryckt på papper eller elektroniskt lagrad som överförs per mejl eller post, visas på film eller yttras i en konversation. Att information sprids utan kontroll eller ändras på ett felaktigt sätt kan skada ett företag både ekonomiskt och anseendemässigt. Dessutom kan det vara olagligt, till exempel om lagrade personuppgifter sprids till obehöriga.
– Informationssäkerhet och dataskydd, GDPR, är delar av varandra. Skilda processer innebär oftast merarbete. Genom att integrera allt i ett gemensamt ledningssystem säkrar man både individens och verksamhetens intresse, säger Jan-Olof Andersson, informationssäkerhetschef och dataskyddsombud för ICA Sverige och deltagare i standardiseringsarbetet.
Den nya standarden kompletterar de tidigare framtagna säkerhetsstandarderna ISO 27001 och ISO 27002. Medan de två första ger stöd i att skapa en vald informationssäkerhetsnivå så ger ISO 27701 stöd i att tillföra dataskydd och beskriver också till exempel kraven på personuppgiftsansvarig och personuppgiftsbiträde samt ger referenser på vilka artiklar i dataskyddsförordningen som relaterar till åtgärderna i standarden.