ISO 27001 og ISAE 3000: Certificering eller ægte tillid i praksis?
Forestil dig to it-partnere. Den ene har flotte certifikater hængende på væggen, men i hverdagen mærker du ingen forskel. Sikkerhedsprocedurerne halter, og kommunikationen er uklar. Den anden har måske ikke fremvist diplomer endnu, men arbejder struktureret, transparent og holder, hvad de lover, dag ud og dag ind. Hvem ville du helst overlade din it-drift til?
Mange virksomheder jagter ISO-certificeringer og andre erklæringer for at kunne vise et stempel af kvalitet. Desværre ender certifikaterne nogle gange som pynt på papiret frem for reel værdi i praksis. Hos IT Confidence ønsker vi at vende den fortælling på hovedet. Vi er i fuld gang med at opnå ISO 27001 og ISAE 3000, ikke for synets skyld, men fordi det gør os bedre til det, vi allerede brænder for: at skabe sikker, pålidelig it-drift og ægte tillid hos vores kunder.
Sådan undgår du, at certificeringer blot bliver pynt på papiret
Lad os være ærlige: Et certifikat i sig selv er ingen garanti. Et firma kan godt leve op til minimumskravene den dag auditøren kigger forbi, men hvad med alle de andre dage? Tillid opstår ikke blot ved et stempel; den opstår i hverdagen, når du som kunde oplever, at din it-partner er proaktiv, oprigtig og har styr på sagerne.
Alligevel skal vi ikke underkende værdien af certificeringer. De rigtige standarder kan fungere som en kvalitetsramme, et sæt af retningslinjer og krav, der tvinger os til at tænke os om og gøre tingene ordentligt. Problemet opstår først, når certifikater bruges som et salgstrick uden indhold. Det er desværre set før i it-branchen: man smykker sig med ISO-numre og flotte rapporter, men bag facaden kører tingene videre i samme rille som altid. Resultatet? Kunderne står tilbage med en falsk tryghed.
Hos IT Confidence har vi fra dag ét besluttet, at hvis vi skal certificeres, så skal det være på den rigtige måde. Certificeringerne skal kunne mærkes af dig som kunde, ikke kun ses på vores website. Derfor spørger vi os selv: Hvordan undgår vi, at ISO 27001 og ISAE 3000 blot bliver papirer i en mappe? Svaret er at bruge dem aktivt som løftestang for forbedring af hverdagens arbejde. Lad os dykke ned i, hvordan vi gør det.
Hvorfor ISO 27001 og ISAE 3000?
ISO 27001 er den internationale guldstandard for informationssikkerhed. Den hjælper os med at opbygge et gennemført system for at beskytte data og systemer. Det betyder, at vi arbejder med klare politikker for sikkerhed, laver grundige risikovurderinger, har procedurer for håndtering af sikkerhedshændelser og træner alle i organisationen i god it-sikkerhedsadfærd. Med ISO 27001 skal intet være overladt til tilfældighederne. Sikkerhed tænkes ind i alt, vi gør. For dig som kunde betyder det, at vores hus er i orden: Vi passer godt på dine data, og vi kan reagere hurtigt og kontrolleret, hvis uheldet skulle være ude.
ISAE 3000 derimod er en erklæringstype, hvor en uafhængig revisor gennemgår vores processer og kontroller for at vurdere, om vi lever op til bestemte krav inden for f.eks. datasikkerhed og compliance. Hvor ISO 27001 er et internt styringssystem, er ISAE 3000 en ekstern attestering. Det er en form for objektivt bevis på, at vi gør, hvad vi siger. Når vi opnår en ISAE 3000-erklæring, kan vi dokumentere over for omverdenen (dig, dine partnere, måske myndigheder) at vores it-service er til at stole på. Det er ikke bare os selv, der synes det; en uvildig ekspert har gennemgået os med en tættekam og skrevet under på det.
Disse to, ISO-standarden og revisorerklæringen, går hånd i hånd. Sammen sikrer de, at vi både har de rigtige interne rutiner (ISO 27001) og at vi kan fremvise resultaterne sort på hvidt (ISAE 3000). Vi forventer at kunne præsentere begge certifikater i løbet af andet halvår 2025, men for os handler det ikke om at nå en slutdestination. Det handler om rejsen dertil og videre frem. Allerede nu bruger vi de her standarder som aktive værktøjer i vores hverdag.
Sådan forbedrer vi din service helt konkret
Man siger nogle gange, at “det handler ikke om målet, men om rejsen”. Det gælder især, når man implementerer nye standarder. Siden vi besluttede os for at gå efter ISO 27001 og ISAE 3000, har vi været på en forbedringsrejse. Vi har kortlagt og justeret vores processer, strammet op hvor det gav mening, og skrevet det hele ned så det ikke kun lever i vores hoveder, men også på papir (eller rettere sagt, i vores dokumentationssystem).
Hvad betyder det konkret for dig? Jo, det betyder at vores service bliver endnu skarpere og mere gennemsigtig. Når vi justerer en proces, er det typisk for at sikre, at alting kører som det skal hver gang og ikke kun når stjernetegnet står rigtigt. For eksempel har vi indført endnu mere systematisk opfølgning på supporthenvendelser, så intet falder mellem to stole. Vi har skabt klare retningslinjer for håndtering af selv de mindste sikkerhedshændelser, så de bliver løst hurtigt og lærerigt (hvor vi før måske løste dem ad hoc, har vi nu en fast playbook). Og vi har gjort vores interne vidensdeling og dokumentation bedre, så alle i teamet altid er opdaterede på aftaler, systemopsætninger og særlige forhold hos netop din virksomhed.
Flere af vores kunder mærker allerede forskellen. Ting sker lidt mere smidigt, kommunikationen er lidt mere klar, og risici bliver adresseret før de vokser sig store. Alt det her sker ikke fordi vi mangler et diplom på væggen, men fordi vi oprigtigt ønsker at forbedre os. Certificeringerne er drivkraften, der holder os til ilden. De giver os et venligt “puf” i ryggen, som sikrer, at vi kontinuerligt hæver barren for, hvad du kan forvente af os som din it-partner.
It-sikkerhed som holdarbejde, ikke kun et krav
Når vi siger, at vi ikke jagter ISO og ISAE for papirernes skyld, så handler det om vores grundlæggende syn på sikkerhed og compliance. For os handler det ikke bare om at overholde kravene; det handler om at skabe en kultur. Sikkerhed skal være noget, vi og vores kunder lever, ikke bare noget vi efterlever af pligt.
Med det mener vi, at vi ønsker at være en samarbejdspartner, der hjælper dig med at gøre det samme som vi gør. Vi ser os selv som dit forlængede it-team. Hvis vi bliver bedre til informationssikkerhed internt, kan vi også bedre rådgive og støtte dig i at løfte sikkerhedsniveauet i din forretning. Det kan være helt lavpraktisk: Måske spotter vi en mulighed for at forbedre din passwordpolitik eller komme i gang med awareness-træning af medarbejderne. Eller måske handler det om det store billede: at hjælpe din virksomhed med at lægge en it-strategi, hvor compliance og forretningsmål går hånd i hånd.
Når vi arbejder struktureret med sikkerhed, kan vi dele vores erfaringer med dig. Hvis vi for eksempel udvikler en stærk proces for risikovurdering, så kan vi invitere dig med ind i maskinrummet og vise, hvordan vi gør. Måske kan du bruge noget lignende internt hos jer. På den måde bliver vores rejse mod certificering også en læringsmulighed for vores kunder. Vi lærer, I lærer, og alle står stærkere imod trusler og i at leve op til de krav, der kommer udefra.
Kort sagt: Vi gør det rigtige, ikke fordi vi skal, men fordi vi virkelig tror på det. Og vi håber, at vores tilgang smitter af. Når du samarbejder med os, får du ikke en partner, der modstræbende flueben’er sikkerhedskrav. Du får en partner, der brænder for at skabe tryghed omkring it.
Derfor kan du stole på os hver dag
Vi taler meget om tillid i IT-branchen. For os er tillid ikke bare et buzzword. Det er selve kernen i vores værdier. Vores mission er at give dig fuld tillid til din it-drift, så du kan fokusere på det, du er bedst til. For at opnå det har vi nogle helt konkrete principper, som gennemsyrer alt, hvad vi gør:
Robusthed kombineret med menneskelig service:
Du får robuste løsninger i enterprise-klassen, der lever op til strenge krav om sikkerhed og stabilitet og du får en nærværende, personlig service. Vi er teknisk tunge, men du vil opleve os som nede-på-jorden i dialogen. Vi ved, at it først skaber værdi, når menneskerne forstår hinanden. Derfor taler vi i øjenhøjde og lytter mere, end vi taler.
Ingen tvungne bindinger:
Hos os behøver du ikke at underskrive lange, låste kontrakter. Vi arbejder uden tvungne bindinger, fordi vi mener, at tilfredshed er den bedste kontrakt. Det holder os skarpe i dagligdagen, for vi ved, at vi skal gøre os fortjent til at være din it-partner hver eneste dag. Og den disciplin gavner dig: du mærker en samarbejdspartner, der virkelig strækker sig for at gøre dig tilfreds, netop fordi du har valget til hver en tid.
Vi siger tingene, som de er, og vi leverer det, vi lover:
Ærlighed og ordholdenhed er ufravigelige krav hos os. Hvis noget kan gøres bedre i dit setup, så får du det at vide uden omsvøb. Hvis vi lover, at en opgave er løst til fredag, så er den løst til fredag. Ingen overraskelser, ingen bortforklaringer. Det lyder måske basalt, men overraskende få lever fuldt ud op til det. For os er det alfa og omega, hvis man vil opbygge langvarige relationer. Tillid vokser, når man gang på gang oplever, at virkeligheden matcher det, der blev lovet.
Disse værdier er ikke bare pæne ord på en plakat; de udleves i praksis og forstærkes yderligere af vores arbejde mod certificeringerne. For eksempel kræver ISO 27001 netop, at man kommunikerer klart om roller og ansvar, og det passer perfekt med vores ønske om gennemsigtighed og at sige tingene, som de er. Vores “ingen binding”-politik tvinger os til konstant at forbedre os , og det spiller godt sammen med den kontinuerlige forbedringskultur, som ISO-standarden foreskriver. Med andre ord: certificeringerne understøtter vores DNA i at levere it-tillid både på papiret og i praksis.
Samme tilgang, uanset om du er stor eller lille
Vi har en bred målgruppe: fra mindre virksomheder til store organisationer. Dine udfordringer og ambitioner afhænger måske af din virksomheds størrelse, men behovet for it-sikkerhed og tillid er universelt. Vi sørger for, at vores tilgang skaber værdi for dig, uanset om du er en ejerleder i en mindre virksomhed eller CIO i en koncern.
For en mindre virksomhed kan alt det her med ISO-certifikater og compliance lyde lidt tungt. Måske tænker du: “Er det overhovedet relevant for os? Vi har jo nok at se til i forvejen.” Svaret er ja, og heldigvis behøver det slet ikke at være uoverskueligt. Når du samarbejder med IT Confidence som lille eller mellemstor virksomhed, sørger vi for at oversætte de tunge standarder til konkrete tiltag, der giver mening i din hverdag. Du behøver ikke ansætte et stort sikkerhedsteam for at få glæde af principperne bag ISO 27001. Vi tager os af det komplekse og leverer det til dig i øjenhøjde. Resultatet er, at din virksomhed bliver bedre beskyttet, uden at du selv skal blive sikkerhedsekspert. Og hvis dine kunder eller samarbejdspartnere en dag kræver dokumentation for jeres it-sikkerhed, så står du stærkere: Du kan pege på, at I har en partner, som lever op til anerkendte standarder og holder jer i hånden hele vejen.
Er du derimod en beslutningstager i en større virksomhed, så ved du sikkert, hvor vigtigt det er at kunne sætte flueben ved compliance-krav. Måske skal I leve op til GDPR, NIS2 eller interne politikker, der kræver, at jeres leverandører har styr på sikkerheden. Her bliver vores certificeringer din tryghed for, at vi taler samme sprog som jer. Vi dokumenterer vores procedurer ned i detaljen, vi kan indgå i jeres risikovurderinger, og vi kan levere de rapporter, I har brug for, til jeres revision eller bestyrelse. Samtidig får I en agil og fleksibel samarbejdspartner. Ofte er store it-leverandører bundet op i stive processer – de kan have certifikaterne i orden, men reagerer måske langsomt eller upersonligt. IT Confidence bestræber sig på at give jer det bedste af begge verdener: ordentlighed og dokumentation som i en stor organisation, men agilitet og nærvær som en mindre virksomhed. Vi tilpasser vores support og løsninger efter jeres forretning, ikke omvendt.
Uanset virksomhedens størrelse, lover vi én ting: Vi går aldrig på kompromis med tilliden. Om du køber få timers rådgivning om måneden eller lægger hele din it-drift hos os, så får du samme transparente dialog, samme grundighed og samme engagement. Certifikater eller ej – den del ændrer sig ikke.
Kunderne kan allerede mærke forskellen
Den bedste indikator for, om vi gør det rigtigt, er vores kunders oplevelser. Og her tør vi godt sige, at vores kunder bakker os op i vores tilgang. Allerede inden vi har ISO- og ISAE-diplomerne i hus, får vi feedback om, at vores måde at arbejde på gør en forskel. Som én af vores kunder, Tina Vad Chawes fra Furesø Vandforsyning, formulerede det:
For os er det her citat guld værd. Det bekræfter nemlig præcis det, vi ønsker at opnå: at vores kunder føler sig trygge og velinformerede, at der er en ærlig dialog, og at selv komplekse emner som risiko og sikkerhed bliver håndgribelige i samarbejdet med os. Tina og hendes virksomhed mærkede, at vi ikke pakker ting ind. Vi kalder en spade for en spade, også selvom det kan være følsomt at tale om fx sårbarheder i ens it-setup. Kun ved at være åbne omkring udfordringerne kan vi løse dem effektivt sammen.
Det glæder os også at høre, at processen opleves konkret og håndgribelig. Alt for ofte bliver snak om it-sikkerhed enten fluff og varm luft, eller også drukner det i tekniske detaljer. Vi stræber efter at finde balancen, hvor du som kunde føler, at sikkerhed og compliance faktisk giver mening i forhold til din forretning. Når vi strukturere vores arbejde efter ISO 27001, betyder det f.eks. at vi kan vise dig en klar oversigt over dine risici og hvad vi gør ved dem. Ingen mystik, ingen røgslør og heller ingen grund til panik. Bare konkret overblik og planer, du kan forstå og se værdien af.
Denne feedback motiverer os enormt. Det viser, at selv inden vi har modtaget den formelle anerkendelse i form af certifikaterne, så er vi på rette vej. Og vi har tænkt os at fortsætte ad det spor langt ud i fremtiden.
Mere end et stempel: Et løfte om kvalitet
Når (og ikke hvis!) vi står med ISO 27001-certifikatet i den ene hånd og ISAE 3000-erklæringen i den anden, så bliver vi selvfølgelig stolte. Men vi ser det ikke som kulminationen, snarere som et nyt kapitel. Certifikaterne er et øjebliksbillede af, at vi gør det godt. Vores vigtigste opgave bliver at gøre det endnu bedre dagen efter. Ægte tillid kommer af det løfte, vi giver dig hver dag: At vi vil gøre os fortjent til din tillid igen i morgen, næste uge og næste år.
It-landskabet står aldrig stille. Truslerne udvikler sig, teknologierne udvikler sig, og dine behov som kunde udvikler sig. Derfor forpligter vi os til at bruge de rammer, vi har sat op med ISO og ISAE, som en platform for løbende forbedring. Det betyder blandt andet, at vi minimum én gang om året skal evaluere vores informationssikkerhedsmål, revidere risikovurderinger og få eksterne audits. Men ærlig talt, så kommer vi til at gøre det langt oftere – fordi vi ikke kan lade være. Det er sådan, vi er skruet sammen.
Alt det gør vi ikke fordi, “det skal vi jo ifølge kravene”. Vi gør det, fordi det er den eneste rigtige måde at drive it-forretning på i dag, efter vores mening. At opnå certificering bliver en dejlig anerkendelse, men at leve op til dem hver dag er en endnu større sejr.
Til syvende og sidst er et certifikat jo netop kun et stykke papir, hvis ikke ånden bag lever videre. Vores løfte til dig er, at ånden lever i bedste velgående hos IT Confidence. Du vil opleve det i form af små, men vigtige ting: Vi stiller måske nogle flere spørgsmål, når vi skal løse en opgave for dig, netop for at sikre, at vi kommer hele vejen rundt om sikkerheden. Vi logger måske lidt flere oplysninger, end vi plejede, så der er dokumentation og sporbarhed, hvis noget skal granskes. Og vi følger oftere op for at høre, om du er tilfreds, og om vi kan gøre det endnu bedre.
Lad os tage snakken om din sikkerhed og compliance
Vi har delt lidt om vores rejse mod højere sikkerhed og bedre it-styring. Nu er vi nysgerrige: Hvordan arbejder du selv med sikkerhed og compliance i din organisation? Står I med lignende overvejelser omkring certificeringer, eller har I valgt en anden vej? Uanset hvor I er på jeres rejse, vil vi meget gerne høre om det.
Vil du høre, hvordan vi kan løfte din sikkerhed med konkrete forbedringer og ikke blot med papirer? Book en uforpligtende samtale med os.