Contact us: +47 35 68 88 99
Norsk
Tilbake til bloggen
11 min read

Veiledning: Bli ISO 27001-sertifisert eller få en ISAE 3402-sikkerhetsrapport

Joanna Kwong
By: Joanna Kwong GDPR,Cybersikkerhet | 20 januar

Innledning: Hva slags sikkerhetsrapport bør jeg få?

Vi i CyberPilot ser at det er et økende krav for organisasjoner å bli sertifisert innen informasjonssikkerhet eller å få en sikkerhetsrevisjon for ISO 27001 eller ISO 27002.


 Detteblogginnlegget gir en oversikt over de ulike måtene å bli sertifisert innen informasjonssikkerhet på. Du vil også lære om forskjellen mellom ulike typer sikkerhetssertifiseringer og sikkerhetsrevisjoner , og hvilke steg du må ta for å oppnå hver av dem. Etter å ha lest dette innlegget håper vi at du bedre forstår om du bør jobbe mot sertifisering. Hvis du ønsker å sikre at du følgerkravene i personvernforordningen for håndtering av personopplysninger, bør du ta en titt på fordelene med en ISAE 3000-rapport.

Dette innlegget inneholder mye informasjon, så her er hva du kan forvente deg. Først vil vi definere de ulike typene sertifiseringer og sikkerhetsrevisjoner som er tilgjengelige for informasjonssikkerhet . Deretter diskuterer vi fordeler og ulemper vedhver av dem, vurderer de potensielle kostnadene og gir til slutt en anbefaling om hvordan organisasjonen din kan gå frem.

 

Innhold

Hvorfor ISO 27001-sertifisere seg eller få en ISAE 3402-sikkerhetsrevisjon uansett?

Å bli sertifisert eller revidert er en god måte å vise kunder og samarbeidspartnere at organisasjonen din har forpliktet seg til god IT-sikkerhetspraksis. Det viser også at du har kontroll og er proaktiv når det gjelder organisasjonens sikkerhet.

Det kan også forbedre organisasjonens omdømme og kan brukes i markedsføringskampanjer, avhengig av bransje og kontekst. Hvis du for eksempel er et selskap som regelmessig behandler konfidensielle data, vil en sertifisering utvilsomt berolige potensielle kunder.

I tillegg til å inneha en ISO-sertifisering er opplæring av teamet ditt et av dine sterkeste IT-sikkerhetsforsvar, ettersom mennesker utgjør den største sikkerhetsrisikoen for organisasjoner. Hvis du vil vite mer om hvordan et velutdannet team kan styrke IT-sikkerheten, kan du ta en titt på vår bevisstgjøringstrening.

Vi forstår at det er mange aspekter å ta hensyn til når du skal velge en sikkerhetssertifisering. I de følgende avsnittene vil vi forsøke å snevre det ytterligere inn for deg. Hvis du vil, kan du også begynne med å lese våre generelle retningslinjer for å overholde personvernforordningen.

Hva er en ISO-sertifisering?

Den internasjonale standardiseringsorganisasjonen (ISO) er en internasjonal standardiseringsorganisasjon. Det er verdens største og mest anerkjente utvikler av frivillige internasjonale standarder. Når det gjelder styring av informasjonssikkerhet, er vi opptatt av standardene i ISO 27000-familien.

ISO 27000/IEC 27000

ISO 27000-familien (også kjent som serien) består av informasjonssikkerhetsstandarder som publiseres i fellesskap av Den internasjonale standardiseringsorganisasjonen (ISO) og Den internasjonale elektrotekniske kommisjon (IEC), og det er derfor du ofte vil se de to forkortelsene bli brukt. ISO 27000 og ISO/IEC 27000 er med andre ord den samme standarden. Fremover vil vi for det meste bruke ISO-forkortelsen, og dette vil også gjelde ISO/IEC 27001 og ISO/IEC 27002.

Serien består av mer enn et dusin standarder. ISO 27000 gir en oversikt over og beskriver vokabularet som brukes i alle standardene. De fleste organisasjoner er opptatt av en ISO 27001-sertifisering med mulighet for å utvide den til ISO 27002.

New call-to-action

Hva er ISO/IEC 27001?

ISO 27001 er den mest kjente standarden som stiller krav til et styringssystem for informasjonssikkerhet (ISMS). Når bedrifter snakker om å bli ISO-sertifisert innen informasjonssikkerhet, er det vanligvis denne standarden de refererer til. Den inneholder alle retningslinjer og prosesser som er relevante for hvordan data kontrolleres og brukes. Den definerer imidlertid ikke spesifikke verktøy, løsninger eller metoder. I stedet fungerer den som en sjekkliste for etterlevelse. Hovedmålet er at arbeidet skal være en kontinuerlig prosess, ikke noe man bare gjør én gang. Derfor fokuserer vi på hvordan prosessen og forbedringene er kontinuerlige.


 ISO 27001 bruker en risikobasert tilnærming, og det er derfor ingen spesifikke eller forhåndsbestemte krav som en organisasjon må oppfylle. ISO 27001 kreverimidlertidat man iverksetter egnede tekniske og organisatoriske tiltak. Det er derfor opp til den enkelte organisasjon å vurdere hvilke tiltak som er hensiktsmessige. Nøkkelen her er å gjøre en risikovurdering, slik at du vet hvilke tiltak somer hensiktsmessige for din organisasjon.

En vurdering av potensielle sikkerhetsrisikoer kan også hjelpe dere med å forutse hendelser og planlegge hvordan dere kan redusere potensielle risikoer. Bruk vår veiledning og gratis mal for å lage en risikoanalyse , så er du et skritt på veien mot å bli sertifisert.

ISO 27001-krav

ISO/IEC 27001 inneholder ti korte paragrafer og vedlegg A, som beskriver hvordan standarden skal etterleves.

 Paragrafene i ISO/IEC 27001:2022 er:

  1. Omfang

  2. Normative referanser

  3. Vilkår og betingelser

  4. Organisasjonens kontekst

  5. Ledelse

  6. Planlegging

  7. Støtte

  8. Drift

  9. Prestasjoner Evaluering

  10. Forbedring

Kontrollene i ISO 27001 finnes i vedlegg A

I tillegg består ISO 27001 av Annex A, som definerer 18 individuelle områder av informasjonssikkerhet som organisasjoner bør jobbe med, inkludert

  • Tilgangskontroll

  • Sikkerhet for menneskelige ressurser, inkludert bevissthetsopplæring

  • Nettverk, inkludert sårbarhetsskanninger

  • Fysisk sikkerhet og miljøsikkerhet

  • Logghåndtering

Kort sagt er vedlegg A en veiledning for beste praksis. Den inneholder kontroller som du kan bruke til å sammenligne tiltakene organisasjonen din har implementert med ISO 27001-standardene. Hvis organisasjonen din mangler en av kontrollene, forventes det at du enten implementerer den eller dokumenterer årsakene til at den ikke gjelder for din organisasjon.

Hva er et ISMS?

Et styringssystem for informasjonssikkerhet (ISMS) gir organisasjoner en systematisk tilnærming til styring av informasjonssikkerheten. Det er et sentralt administrert rammeverk som bruker risikostyring for å hjelpe deg med å håndtere organisasjonens informasjon. Et ISMS inneholder alle retningslinjer og prosesser som er relevante for hvordan data kontrolleres og brukes.

Det overordnede målet med et ISMS er å definere og kontrollere risikonivåene som er relevante for en organisasjon. Det er tre hovedområder å ta hensyn til:

Konfidensialitet: Kun autoriserte personer har tilgang til dataene.
Integritet: Dataene er nøyaktige og fullstendige.
Tilgjengelighet: dataene er tilgjengelige når det er behov for dem

I henhold til ISO 27001 følger implementeringen av et ISMS en Plan-Do-Check-Act-syklus (PCDA) for kontinuerlig forbedring. Dette er en brukervennlig modell som hjelper organisasjoner med å unngå å gjøre gjentatte feil. Vi anbefaler at du følger vår veiledning om bruk av Plan-Do-Check-Act (PCDA)-modellen for alle typer prosesser som du ønsker å forbedre, men vi mener den er spesielt nyttig innen IT-sikkerhet.

PDCA: plan-do-check-act for ISO 27001 certification

 

 

Hva er ISO/IEC 27002?

ISO 27002 er ikke en standard, men en retningslinje som gir forslag, snarere enn krav, for effektiv ISMS-styring. Den er mindre omfattende enn ISO 27001 og inkluderer ikke Plan-Do-Check-Act-syklusen. Normalt brukes den av organisasjoner som allerede er i ferd med å bli ISO 27001-sertifisert.

ISO 27002 veileder organisasjoner i valg, implementering og styring av kontroller i risikomiljøet for informasjonssikkerhet. Den er utformet for å brukes av organisasjoner som har til hensikt å:

  • Velge kontroller i prosessen med å implementere et ISMS basert på ISO 27001.

  • Implementere allment aksepterte informasjonssikkerhetskontroller.

  • Utvikle egne retningslinjer for styring av informasjonssikkerhet.

Hvis du jobber med å bli ISO 27001-sertifisert, kan de generiske kontrollene som er beskrevet i ISO 27002, hjelpe deg med å finne ut hvordan du kan tilpasse sikkerhetsretningslinjene til din egen organisasjon.

Hva er en ISAE 3402-rapport?

International Standard on Assurance Engagements 3402 (ISAE 3402) er en internasjonal standard for attestasjonsoppdrag som foreskriver SOC-rapporter (Service Organization Control). Disse rapportene gir organisasjoners kunder og samarbeidspartnere en forsikring om at de har tilstrekkelig internkontroll når det gjelder informasjonssikkerhet. ISAE 3402 definerer to typer rapporter: Type 1 og Type 2.

Hva er en ISAE Type 1-rapport?

En type 1-rapport omfatter en gjennomgang av dokumentasjonen, men uten kontroll av selve gjennomføringen. Med andre ord er en type 1-rapport et øyeblikksbilde av en gitt dato.

Kostnaden for en ISAE 3402 Type 1-rapport består av to deler:

  1. Den interne utarbeidelsen, implementeringen og dokumentasjonen.

  2. Gjennomgang, utarbeidelse og løpende vedlikehold av uttalelsen. Denne oppgaven må håndteres av en autorisert informasjonsrevisor.


Kostnaden vil variere avhengig av revisor og rapportens omfang.

Hva er en ISAE 3402 type 2-rapport?

En type 2-rapport omfatter en gjennomgang av dokumentasjonen og verifisering av implementeringen. Vanligvis vil denne verifiseringen være i form av stikkprøver samt en gjennomgang av dokumentasjon og systemer. En type 2-rapport dekker vanligvis en periode på 6 eller 12 måneder og har som mål å vise hvordan kontrollene har blitt håndtert over tid. Den er derfor mer omfattende enn en type 1-rapport.


Kostnaden for en ISAE 3402-rapport type 2 består av tre deler:

  1. Den interne utarbeidelsen, implementeringen og dokumentasjonen.

  2. Det løpende arbeidet med å etterleve og dokumentere kontrollene.

  3. Gjennomgang, utarbeidelse og løpende vedlikehold av erklæringen.

Kostnaden vil variere avhengig av revisor og rapportens omfang.


Hva er forskjellen mellom ISAE 3402 type 1- og type 2-rapporter?

Normalt vil organisasjoners eksterne partnere kreve en rapport, men de vil ikke spesifisere om det skal være en type 1- eller type 2-rapport. Det er også ganske vanlig at organisasjoner først utarbeider en type 1-rapport og deretter utvider den til en type 2-rapport.

Vår erfaring viser at ved å jobbe mot en type 1-rapport og deretter "oppgradere" den til en type 2-rapport, får man modnet organisasjonens dokumentasjon og prosesser før man når frem til en type 2-rapport. Hvis du derimot starter med å prøve å oppnå en type 2-rapport, risikerer du å få anmerkninger på rapporten hvis dokumentasjonen og kontrollene ikke oppfyller revisors krav. Med en type 1-rapport kan du sette prosessene "på vent", tilpasse dokumentasjonen og prosessene, og deretter bli revidert på nytt.

En annen fordel med å innhente en type 1-rapport først er at du kan få den på relativt kort tid, siden den ikke ser på dokumentasjonen og prosessene over tid. Dette aspektet påvirker kostnadene ved å innhente en rapport i betydelig grad, og vi anbefaler å få et omfattende prisoverslag fra revisoren.

En kvinne tar gratiskurs i cybersikkerhet på sin bærbare datamaskin

Her er vår anbefaling

Av de ovennevnte grunnene anbefaler CyberPilot at du i de fleste tilfeller bør jobbe for å få en ISAE 3402 Type 1-rapport først, og deretter utvide den til en Type 2-rapport hvis det er nødvendig. Fordelene er blant annet:

  • Det er betydelig rimeligere å innhente en type 1-rapport (opptil to ganger rimeligere).

  • Du har mulighet til å modne og forbedre organisasjonens prosesser og dokumentasjon før du bestemmer deg for om du ønsker å utvide den til en type 2-rapport.

  • Det går raskere å få en type 1-rapport. En type 2-rapport vil ta 3-6 måneder, og i løpet av denne tiden må dere fortsatt være i drift mens dere blir revidert.

  • Ettersom mange eksterne partnere ikke spesifiserer om de forventer en type 1- eller type 2-rapport, kan du i de fleste tilfeller "nøye deg" med en type 1-rapport.

Vi forstår at du kanskje likevel ønsker å få en ytterligere oversikt over hva som skal til for å få en fullstendig ISO-sertifisering, og se hvordan det kan sammenlignes med å få en ISAE 3402-rapport. I neste avsnitt vil vi gå dypere inn i årsakene til at organisasjonen din kanskje ønsker å bli sertifisert eller revidert, og vi vil gi deg veikart for begge alternativene.

Bør jeg i det hele tatt ISO-sertifisere meg eller gjennomføre en sikkerhetsrevisjon?

Først må vi finne ut om det er en prioritet for din organisasjon å bli sertifisert eller å gjennomføre en sikkerhetsrevisjon.

Det kan være flere grunner til at du ønsker å bli sertifisert:

  • Det er et lovkrav.

  • Det kreves av eksterne parter (ofte kunder eller partnere).

  • Det kreves av styret eller selskapets eiere.

Siden det tar mye tid og ressurser å forberede seg på å bli sertifisert eller revidert, er det viktig at dere har identifisert behovet for å gå videre før dere setter i gang.

Vi har imidlertid sett at prosessen frem mot en sertifisering eller revisjon er svært verdifull for de fleste organisasjoner, fordi den tvinger dem til å foreta en grundig evaluering av informasjonssikkerheten. I løpet av prosessen kan man bli oppmerksom på problemer som man normalt ikke ville ha tatt tak i fordi man ikke trengte å gjøre det i forbindelse med en revisjon eller sertifisering. Å ta tak i disse problemene vil utvilsomt skape verdi for organisasjonen i det lange løp.

Bør jeg få en ISO-sertifisering eller en ISAE 3402-rapport?

I det følgende diskuterer vi om du bør gå for en fullstendig ISO-sertifisering eller om du kan "nøye deg" med den enklere (og rimeligere) ISAE 3402-revisjonsrapporten.

En fullstendig ISO-sertifisering krever at det finnes et fullt implementert ISMS som dokumenteres og observeres daglig. Dette er en krevende prosess i alle faser: implementering, drift, første sertifisering og løpende sertifisering.

En ISAE 3402-rapport gis dersom organisasjonen har overholdt en spesifikk standard. Det betyr at det fortsatt kreves dokumentasjon i den daglige driften, men i betydelig mindre grad enn ved en full ISO-sertifisering. Mye av prosessen med å få en ISAE 3402-rapport er inkludert i sertifiseringsprosessen.

Dermed stilles det fortsatt krav til både dokumentasjon og daglig drift, men i betydelig mindre grad enn ved en full ISO-sertifisering. Dette ser vi også i selve sertifiseringsprosessen, som for en revisjon består av stikkprøver og intervjuer.

En av de viktigste forskjellene: kostnader

Kostnaden for en fullstendig ISO-sertifisering og sikkerhetsrevisjon vil naturligvis variere fra organisasjon til organisasjon, avhengig av flere parametere, som for eksempel omfang, modenhet i organisasjonens informasjonssikkerhet, interne ressurser og kompetanse. Som et utgangspunkt kan man regne med at en fullstendig ISO-sertifisering vil koste 4-5 ganger mer enn en revisjonserklæring (inkludert alle trinn).

Bruken av ISO-sertifiseringer i EU

Generelt har vi sett at fullstendige ISO-sertifiseringer brukes i svært begrenset grad i EU, og at sikkerhetsrevisjoner er mye vanligere. Dette kan ses på som et uttrykk for at markedet ofte anser revisjoner som tilstrekkelig. Det er vanligvis bare svært store selskaper som sikter mot full ISO-sertifisering.

Hva innebærer det?

Når man skal bestemme seg for om man skal gjennomføre en full sertifisering eller en sikkerhetsrevisjon, bør man også vurdere hvilke oppgaver begge prosessene innebærer.

Det kan være vanskelig å forklare nøyaktig hvilke oppgaver som er forbundet med å implementere og vedlikeholde sertifiseringen/rapporten, ettersom de vil variere fra organisasjon til organisasjon. Vi vil imidlertid starte med å illustrere trinnene i den veien vi anbefaler for de fleste organisasjoner:

ISAE 3402 Attestasjonsrapport - Type 1 i forhold til ISO 27002

I de senere avsnittene i dette blogginnlegget vil vi beskrive nærmere hva som kreves for å gå fra revisjon til full sertifisering.


Hva kreves for å få en ISAE 3402 Type 1-rapport?

Følgende dokumentasjon må være tilgjengelig for gjennomgang før revisor kan utarbeide rapporten.

  • Overordnede retningslinjer for informasjonssikkerhet (uttalelse fra ledelsen), som inneholder mål og ansvarsområder.

  • Dokumentasjon av risikovurdering - dokumentasjon på at denne prosessen er gjennomført og godkjent av ledelsen.

  • Informasjonssikkerhetshåndboken, som beskriver den overordnede prosessen og tiltakene på et overordnet nivå. Håndboken følger kapitler fra ISO 27002-standardene. Informasjonssikkerhetshåndboken er til for å dokumentere de tiltakene som er iverksatt for å håndtere informasjonssikkerheten. Det er et dokument til bruk i IT-avdelingen og for revisjon, ikke for ansatte generelt.

  • Policyer, retningslinjer og prosedyrer knyttet til informasjonssikkerhet. F.eks. en beredskapsplan og retningslinjer for ansatte.


Siden ISO 27002 er en risikobasert tilnærming, vil det også være relevant å se på konklusjonene fra risikovurderingen og finne ut hvilke forbedringer som må gjøres for å oppnå et akseptabelt risikonivå.

Deretter vil vi diskutere trinnene som kreves for å "oppgradere" til en type 2-rapport og deretter til en ISO 27001-sertifisering.

New call-to-action

 

Hva kreves for å få en ISAE 3402 Type 2-rapport?

For å få en type 2-rapport trenger du stort sett samme type dokumentasjon som du trenger for en type 1-rapport. Her er andre ting du kan forvente:

  • Forberedelse - organisering og beskrivelse av kontrollene.
  • Løpende kontroll og dokumentasjon av aktiviteter (tidsintervall må fastsettes).
  • Kostnad for revisjonsuttalelsen - opptil to ganger mer sammenlignet med en type 1-rapport.

Det må påregnes en betydelig mengde tid og kostnader for å utvide rapporten til en type 2-rapport. Dette gjelder både forberedelser, løpende inspeksjoner og kostnader til revisor. Det er også en risiko for at revisor vil ha innvendinger mot den nylig implementerte kontrollen, noe som kan bety at du vil få negative funn i rapporten.

Diskuter mulighetene med revisoren din

Vi anbefaler at du innleder en dialog med revisor om et fremtidig ønske om å få en type 2-rapport samtidig som du starter prosessen med å få en type 1-rapport. I denne prosessen vil det bli tydeligere hvilke ytterligere tiltak og kontroller dere må iverksette for å få en type 2-rapport. I tillegg vil revisoren også få et bedre grunnlag for å anslå hvor mye arbeid som kreves for å utvide rapporten. Ved å gå trinnvis frem kan du ofte redusere kostnadene ved å ha en revisor på besøk betydelig.

 

 

Dette er et typisk veikart for å få en sikkerhetsrevisjon

  • Bestem omfanget av sikkerhetsrevisjonen sammen med utvalgte kunder og partnere. Hensikten er å sikre at begge parter aksepterer de planlagte nivåene for revisjonen.
  • Innled en dialog med revisorene for å få et kostnadsoverslag for deres forberedelse av sikkerhetsrevisjonen.
  • Ta en endelig beslutning om type sikkerhetsrevisjon og nivået på gjennomgangen.
  • Samle inn relevante dokumenter, blant annet
    • Organisasjonens retningslinjer for informasjonssikkerhet
    • Håndboken for informasjonssikkerhet
    • Andre retningslinjer og policyer som kan være relevante.
  • Bli enig med revisoren om hvordan sikkerhetsrevisjonen skal gjennomføres.
  • Implementer de nye prosessene.
  • Type 1-sikkerhetsrevisjonen er utført.
  • Det nye styringssystemet for informasjonssikkerhet (ISMS) har vært i drift i 6-12 måneder.
  • Det er mulig å utføre en type 2-sikkerhetsrevisjon.

 

Hvordan gå fra ISO 27002 til ISO 27001

Forskjellen mellom ISO 27001 og ISO 27002 ligger i dokumentasjonen og etableringen av ledelsessystemet, inkludert PDCA-syklusen. Det er denne delen som må implementeres og driftes for å gå fra ISO 27002 til ISO 27001. I ISO 27001 skal kapitlene 4-10 inngå i organisasjonens styringssystem for informasjonssikkerhet.

Stegene som kreves for å etablere denne prosessen, ligger dels i dokumentasjonen og organiseringen av de interne prosessene for de fire fasene, og dels i den tiden det tar organisasjonen å implementere prosessene.

Den virkelige forskjellen ligger i PDCA-fasene "sjekk" og "handle". Her krever ISO 27001 at det brukes en kontinuerlig prosess for å sette mål for de enkelte tiltakene, kontrollere om tiltakene er effektive, og fortløpende gjøre justeringer hvis resultatene avviker fra målene.

Ettersom ISO 27001 har et større omfang enn ISO 27002, kan det forventes at revisjonen vil koste betydelig mer, ettersom revisoren også vil gjennomgå og revidere dokumentasjonen fra kapittel 4-10 som en del av sertifiseringsprosessen.

Her er hva du kan forvente:

  • Forberedelse - Dokumentasjon og beskrivelse av prosesser som dekkes i kapittel 4-10 i ISO 27001-standarden.
  • Implementering og prosessene knyttet til de fire fasene (Plan-Do-Check-Act).
  • Sikkerhetsrevisjon - bør avtales med revisor.


Den ekstra interne tiden som kreves, er den største forskjellen når det gjelder å gå fra en ISO 27002- til en ISO 27001-sertifisering.

På samme måte som med en ISAE 3402 Type 1 vs. Type 2-revisjon, vil det være en fordel å arbeide trinnvis når man går fra ISO 27002 til ISO 27001. Å sertifisere seg i ISO 27001 kan godt passe for organisasjoner etter hvert som de modnes.


Hvorfor CyberPilot anbefaler å få en ISAE 3402-rapport

Hos CyberPilot anbefaler vi at ISAE 3402-rapporten vanligvis er det optimale valget for de fleste organisasjoner. Dette er på grunn av følgende:

  • De ekstra kostnadene som påløper før, under og etter en fullstendig ISO-sertifisering, vil sannsynligvis overstige merverdien. Dette er ikke tilfellet med en ISAE 3402-rapport.
  • Hvis du senere finner ut at du ønsker å "oppgradere" til en fullstendig ISO-sertifisering, vil ISAE 3402-rapporten fortsatt fungere som et godt utgangspunkt.

Merk: Vi anbefaler ALLTID at du kontakter og diskuterer denne beslutningen med de kundene og samarbeidspartnerne som krever sertifisering eller revisjon, før du begynner å jobbe for å oppnå dette.

CyberPilot, din partner for informasjonssikkerhet

Vi håper at dette blogginnlegget har gitt deg en bedre forståelse av ISO 27001-sertifiseringer og ISAE 3402-rapporter. Vi i CyberPilot tilbyr løsninger som kan hjelpe deg med å styrke informasjonssikkerheten i organisasjonen din som forberedelse til sertifisering eller revisjon. Disse løsningene inkluderer:

Hvis du har spørsmål om løsningene våre, er du velkommen til å kontakte oss på info@cyberpilot.io. Vi kan hjelpe deg med å sette organisasjonen din på rett vei mot bedre informasjonssikkerhet.

En kvinne tar gratiskurs i cybersikkerhet på sin bærbare datamaskin

 
Back to blog
Recent articles
GDPR Hva er ISAE 3000 – og hvordan kan det hjelpe deg med ditt GDPR-arbeid?

ISAE 3000 kan hjelpe deg med ditt GDPR-arbeid. Her gir vi deg en kjapp introduksjon til hva ISAE 3000 er og hvorfor en slik rapport kan være nyttig for deg.

Emilie Mongstad Grenth 4 min read - By Emilie Mongstad Grenth
GDPR Ny IBM-rapport: Kostnaden Av Et Databrudd i 2024

Databrudd er dyre. Vi bruker IBMs 2024 Cost of a Data Breach-rapport til å gå gjennom hvordan et databrudd kan påvirke din bedrift og hvordan du unngår databrudd.

Sarah Hofmann 11 min read - By Sarah Hofmann
GDPR Hvordan Sikre At Bedriften Din Er GDPR Compliant

Det er flere steg du må gjennomføre før selskapet ditt er GDPR compliant. Vi har laget en guide for de første stegene mot å bli GDPR compliant.

Anders Bryde Thornild 11 min read - By Anders Bryde Thornild