I en tid med stigende cybertrusler og stærkere lovkrav til databeskyttelse er informations- og it-sikkerhed et afgørende element i enhver organisations digitale setup. For bestyrelser, ledelse og compliance-funktioner handler det ikke kun om at beskytte data, det handler om at kunne dokumentere, at det sker på en systematisk, kontrolleret og transparent måde.
Sikkerhed er derfor centralt for governance, compliance og risikostyring, og at have formelle certificeringer gør det muligt at vise, at sikkerhedsarbejdet lever op til internationalt anerkendte standarder.
Sikkerhedscertificeringer er formelle beviser på, at en organisation har etableret, dokumenteret og får revideret informations- og it-sikkerhed i henhold til anerkendte standarder. Certificeringer opnås typisk ved, at en ekstern, uafhængig part vurderer processer, kontroller og praksis og bekræfter, at de er effektive og virker i praksis.
For virksomheder og platforme som BOARD OFFICE betyder certificeringer, at kunder og interessenter kan have tillid til, at data håndteres sikkert, at risici er vurderet og kontrolleret, og at systemer og processer opfylder både juridiske krav og bedste praksis.
BOARD OFFICE arbejder ud fra en række anerkendte standarder og certificeringer, som tilsammen dokumenterer høj informations- og it-sikkerhed:
ISAE 3402 er en international standard for revisionserklæringer, der dokumenterer, at en leverandørs interne kontroller og processer er hensigtsmæssigt udformet og fungerer effektivt over tid. Det er særligt relevant for hosting- og cloud-services, hvor drift, beredskab, backup, logning og kontrolmiljøet vurderes af en ekstern revisor.
En ISAE 3402 type 2 erklæring betyder, at kontrollerne ikke kun er dokumenteret, men også er testet over en periode, typisk mindst seks måneder, hvilket giver kunder og partnere en højere grad af sikkerhed for leverandørens drift og processer.
ISAE 3000 er en international standard for erklæringsopgaver, der kan omhandle compliance med f.eks. GDPR, databeskyttelse og informationssikkerhed generelt. En ISAE 3000-erklæring viser, at en leverandør efterlever krav til databehandling og beskyttelse af persondata i sin rolle som databehandler.
Denne type erklæring er vigtig for kunder, der ønsker uafhængig dokumentation for, at deres data behandles i overensstemmelse med lovgivning og databeskyttelsesstandarder.
ISO 27001 er en international standard, der specificerer kravene til et informationssikkerhedsledelsessystem (ISMS). Et certificeret ISMS sikrer, at organisationen arbejder systematisk med:
ISO 27001-certificeringen viser, at BOARD OFFICE har et struktureret og akkrediteret system til at beskytte kunders data og kommunikere sikkert.
BOARD OFFICE benytter underleverandører som del af sin infrastruktur til datalagring og drift. ScanNet’s sikringsmiljø er baseret på et ISO 27001-certificeret informationssikkerhedssystem, der blandt andet omfatter adgangsstyring, risikohåndtering, konfigurationsstyring og backup-procedurer.
Dette sikrer, at også den tekniske drift af data og tjenester sker under dokumenterede og kontrollerede forhold.
Certificeringer har både en teknisk og forretningsmæssig funktion:
Organisationer, der ønsker at styrke deres sikkerhed og governance, bør:
Certificeringer alene er ikke nok, de skal kombineres med effektive processer, uddannelse og styring af risici.
Hvad er forskellen på ISAE 3402 og ISAE 3000?
ISAE 3402 fokuserer på drift og interne kontroller over tid, mens ISAE 3000 ofte relaterer sig til erklæringer om compliance som f.eks. GDPR-beskyttelse.
Hvorfor er ISO 27001 vigtigt?
ISO 27001 viser, at en organisation arbejder systematisk med informationssikkerhed ud fra en internationalt anerkendt model, hvilket styrker både driftssikkerhed og compliance.
Er certificeringer et lovkrav?
Certificeringer er som udgangspunkt ikke lovkrav i sig selv, men de er ofte efterspurgt af kunder, samarbejdspartnere eller ved databehandleraftaler for at dokumentere sikkerhed og compliance.
BOARD OFFICE arbejder kontinuerligt med at opretholde og dokumentere høj sikkerhed gennem anerkendte certificeringer og standarder. Det betyder, at platformens design, drift og databehandling er underlagt eksterne revisioner og kontroller, som sikrer, at data håndteres i overensstemmelse med internationale best practices og gældende lovgivning.