Ensamma på certifieringsmarknaden

Utländska företag som är ackrediterade av det egna landets ackrediteringsorgan har rätt att certifiera svenska företag enligt den svenska standarden.

Även om ett sådant fall finns, där ett finskt certifieringsföretag certifierat ett svenskt företag, hör det inte till vanligheterna. DNV sitter därmed i praktiken i monopolställning i Sverige.

Att sitta i monopolställning har ofta visat sig inverka negativt på verksamhetens kvalitet. Men den fällan tror inte DNVs Dan Bengtsson att man riskerar att falla i.

– Vi har ju verksamhet även inom andra certifieringsområden, där konkurrens finns. Vi har som målsättning att våra revisorer ska kunna certifiera enligt åtminstone två olika standarder. Det ger ett mervärde och minskar kostnaden för kunden, och i och med att revisorerna för informationssäkerhet är verksamma även inom konkurrensutsatta fält håller de sig ständigt uppdaterade.

Han menar att snart sagt alla företag kan ha nytta av att certifiera sig enligt SS 62 77 99, men företag som hanterar sekretessbelagd information är särskilt sårbara.

Flera haverier

Som exempel på haverier vad gäller informationssäkerheten nämner han att 15 000 sjukhusjournaler hittats på en soptipp, 30 000 lösenord till internetkonton finns frisläppta på internet och att banker betalar miljonbelopp till utpressande så kallade crackers, som hotar att göra elektroniska inbrott eller sabotera internetbanken.

– Banker, sjukhus, tryckerier och konsultbranschen är några exempel på verksamheter som kan behöva certifiering, säger Dan Bengtsson.

I DNVs beskrivning av verksamheten understryker man sitt oberoende gentemot kunderna, vilket är viktigt för certifikatets trovärdighet och värde. Risken finns naturligtvis hela tiden att DNV blir för insyltat med de företag man certifierar. Men de är inte oroliga på den punkten.

– Vår oberoendeställning övervakas ju av Swedac, som gör revisioner två gånger årligen där de kontrollerar våra rutiner både på kontoret och ute på fältet, säger Dan Bengtsson.

Den svenska standarden för informationssäkerhet är baserad på den brittiska BS 77 99, som är ursprunget till den svenska standarden för informationssäkerhet. Den består av två delar; del ett är en ”bästa praxis” för området informationssäkerhet och del två är en förteckning över vad som krävs för att certifieras enligt standarden och få en bra säkerhet.

Internationellt gångbar

Del ett har nu blivit ISO-standard (SS-ISO/IEC 17799), vilket innebär att certifieringen blir mer gångbar internationellt. Själva kravstandarden, som är del två, är under utredning men har ännu inte blivit ISO-standard.

Det som DNV certifierar är existensen och efterföljandet av företagets eget ledningssystem för informationssäkerhet, LIS (synonymt med engelskans Information Security Management System, ISMS). Det skapas av företaget innan certifieringsrevisorerna kommer till företaget, och designas enligt systemkraven som finns i del två av standarden.

Utländska företag som är ackrediterade av det egna landets ackrediteringsorgan har rätt att certifiera svenska företag enligt den svenska standarden. Även om ett sådant fall finns, där ett finskt certifieringsföretag certifierat ett svenskt företag, hör det inte till vanligheterna. DNV sitter därmed i praktiken i monopolställning i Sverige.

Att sitta i monopolställning har ofta visat sig inverka negativt på verksamhetens kvalitet. Men den fällan tror inte DNVs Dan Bengtsson att man riskerar att falla i.

– Vi har ju verksamhet även inom andra certifieringsområden, där konkurrens finns. Vi har som målsättning att våra konsulter ska kunna certifiera enligt åtminstone två olika standarder. Det ger ett mervärde och minskar kostnaden för kunden, och i och med att certifieringskonsulterna för informationssäkerhet är verksamma även inom konkurrensutsatta fält minskar risken att de ”slöar till” på informationssäkerhetssidan, säger han.

Prioriterade verksamheter

Han menar att snart sagt alla företag kan ha nytta av att certifiera sig enligt SS 62 77 99, men företag som hanterar sekretessbelagd information bör prioritera det särskilt. Som exempel på haverier vad gäller informationssäkerheten nämner han att 15 000 sjukhusjournaler hittats på en soptipp, 30 000 lösenord till internetkonton finns frisläppta på internet och att banker betalar miljonbelopp till utpressande så kallade crackers, som hotar att göra elektroniska inbrott eller sabotera internetbanken.

– Banker, sjukhus, kommunala inrättningar och tryckerier är några exempel på verksamheter där certifiering kan vara till hjälp, säger Dan Bengtsson.

Hur garanteras oberoendet?

I DNVs beskrivning av verksamheten understryker man sitt oberoende gentemot kunderna, vilket är viktigt för certifikatets trovärdighet och värde. Risken finns naturligtvis hela tiden att DNV blir för insyltat med de företag man certifierar. Men de är inte oroliga på den punkten.

– Vår oberoendeställning övervakas ju av Swedac, som gör revisioner två gånger årligen där de kontrollerar våra rutiner både på kontoret och ute på fältet under tre till fyra dagar, svarar Dan Bengtsson.

Brittiskt ursprung

Den svenska standarden för informationssäkerhet är baserad på den brittiska BS 77 99, som är ursprunget till allt vad informationssäkerhetsstandarder heter. Den består av två delar; del ett är en ”bästa praxis” för området informationssäkerhet och del två är en förteckning över vad som krävs för att certifieras enligt standarden och få en bra säkerhet.

Del ett har nu blivit ISO-standard (SS-ISO/IEC 17799), vilket innebär att certifieringen blir gångbar internationellt. Del två innehåller delar specifika för respektive land, och därför har den ännu inte blivit ISO-standard.

Det som DNV certifierar är existensen och efterföljandet av företagets eget ledningssystem för informationssäkerhet, LIS (synonymt med engelskans Information Security Management System, ISMS). Det skapas av företagledningen som en del av certifieringsprocessen, och designas enligt systemkraven som finns i del två av standarden.