Risikoene forbundet med cybersikkerhet og datainnbrudd har økt de siste årene, og organisasjoner må i stadig større grad vise at deres informasjonssikkerhet og håndtering av personopplysninger er tilstrekkelig. ISO 27001-sertifiseringen viser at en organisasjon har identifisert risikoer og truffet forebyggende tiltak for å beskytte informasjonen mot brudd på informasjonssikkerheten.
I 2020 fikk PostNord Strålfors ISO 27001-sertifisering for to områder med ekstra høye krav til sikkerhet – data- og distribusjonssenteret i Ljungby i Sverige og hele Input Management-avdelingen i Danmark.
ISO/IEC 27001-sertifiseringen er selve referansen for all IT-sikkerhet. Standarden sikrer prosesstyring, risikostyring og oversikt – dette er viktige parametre for å garantere IT-sikkerheten for kundene våre.
ISO 27001-sertifiseringen viser at en organisasjon har identifisert risikoer og truffet forebyggende tiltak for å beskytte informasjonen mot brudd på informasjonssikkerheten.
Sikkerhetskultur i PostNord Strålfors
Åke Andersson, informationssäkerhetschef på PostNord Strålfors.— PostNord Strålfors’ IT-sikkerhet er basert på sikre systemer og prosesser, men også på opplæring og bevissthet hos alle ansatte, sier Åke Andersson, informasjonssikkerhetssjef i PostNord Strålfors.
PostNord Strålfors bruker sikkerhetskontrollene fra ISO 27001-standarden som utgangspunkt for å tilby kundene sikre tjenester. Disse er en integrert del av organisasjonens prosess og overordnede ledelsesstruktur og har som formål å håndtere informasjonssikkerhetsrisikoer på en systematisk måte.
Ledelsessystemet omfatter bl.a. endringer av informasjonsmiljøet, informasjonshåndtering, leverandørstyring og HR-prosessen for å sikre at CIA-triaden, dvs. konfidensialitet, integritet og tilgjengelighet, opprettholdes på egnet måte.
PostNord Strålfors har opprettet, innført og kommer til å opprettholde og kontinuerlig forbedre styringssystemet for informasjonssikkerhet (ISMS) i samsvar med kravene i ISO/IEC 27001:2013.
Med PostNord Strålfors som leverandør og partner er du derfor garantert et høyt informasjons- og IT-sikkerhetsnivå. Med sikrede løsninger og plattformer kan vi beskytte kundenes data og prosesser.
Se alle PostNord Strålfors' sertifiseringer.
PostNord Strålfors’ styringssystem for informasjonssikkerhet (ISMS – Information Security Management System)
PostNord Strålfors’ ISMS følger en interaktiv syklus for planlegging, implementering, overvåking og forbedring av vår informasjons- og IT-sikkerhet.
Med utgangspunkt i ISMS treffes det beslutninger og foretas vurderinger basert på risikoanalyser.
Arbeidet med informasjonssikkerhet skjer innenfor rammene av ISMS med utgangspunkt i driftsrelaterte risikoer, sikkerhetsrisikoer og lovfestede krav.
Risikostyring identifiserer risikoene knyttet til integritet, sporbarhet, tap av konfidensialitet, integritet og tilgang til informasjon innenfor rammen av ISMS.
Informasjonssikkerheten i PostNord Strålfors omfatter følgende områder:
- Sikker utvikling – en forutsetning for å bygge sikre tjenester, arkitekturer, applikasjoner og systemer.
- Støtteprosesser – PostNord Strålfors arbeider i henhold til ITIL-rammeverket (Information Technology Infrastructure Library). Alle våre IT-prosesser er basert på dette rammeverket.
- Personalsikkerhet – ved hjelp av onboarding- og offboarding-prosesser og fortløpende og obligatorisk opplæring om sikkerhet, informasjonssikkerhet og GDPR.
- Tilgangsstyring – tilgang til informasjonsressurser, IT-fasiliteter (IT-utstyr, -applikasjoner, -prosedyrer, -rom) og nettverkstjenester (ressurser) er begrenset til registrerte brukere eller applikasjoner.
- Kryptografisk sikkerhet – kryptografiske algoritmer og protokoller implementeres i PostNord Strålfors’ løsning.
- Fysisk sikkerhet – for å hindre uautorisert tilgang til lokaler, utstyr og ressurser og for å beskytte personale og eiendom mot fysiske forhold og hendelser som kan forårsake alvorlige tap eller skader.
- Driftssikkerhet – driftsrutiner på plass.
- Inntrengings- og sårbarhetstesting – det utføres en ekstern inntrengingstest årlig av et eksternt selskap, og hver måned gjennomføres det en ekstern og intern sårbarhetsskanning.
- Risikostyring – risikostyringsprosedyren gjør det mulig å eskalere risikoene fra drift til den øverste ledelsen.
- Personvernforordningen (GDPR) – for å kunne følge og oppfylle kravene i forordningen har PostNord Strålfors ansatt et personvernombud (DPO).
- Kommunikasjonssikkerhet – PostNord Strålfors sikrer at informasjon og tjenester i PostNord Strålfors’ nettverk beskyttes mot uautorisert tilgang.
- Business Continuity Plan (BCP) – kontinuitetsplanen, som bl.a. inneholder en katastrofeberedskapsplan (DRP), håndterer kontinuiteten i virksomhetskritiske prosesser, komponenter og ressurser og beskriver hvordan eventuelle forstyrrende hendelser skal håndteres.