ISO 27001:2013

Það er öllum fyrirtækjum sem úthýsa rekstri og þjónustu til upplýsingatæknifyrirtækja afar mikilvægt að fá staðfestingu á að þjónustuaðili sé með og reki vottað stjórnunarkerfi upplýsingaöryggis. Upplýsingaöryggi verður æ mikilvægari þáttur þegar kemur að verðmætum og viðkvæmum innviðum fyrirtækja og opinberra aðila. Afar mikilvægt er að þjónustuaðilar leiti allra leiða til að lágmarka ógnir og áhættur sem kunna að steðja að upplýsingatækniumhverfi og noti við það viðurkenndar og vottaðar aðferðir.

Origo rekur ISO 27001 vottað stjórnunarkerfi upplýsingaöryggis auk þess sem hjá fyrirtækinu starfa um 30 einstaklingar sem hafa fengið vottun um ITIL Foundation Certificate in IT Service Management. Félagið leggur mikla áherslu á að dýpka stöðugt og auka vitund og þekkingu starfsmanna gagnvart upplýsingaöryggi. Auk þess sem félagið sjálft heldur öryggisnámskeið, próf og öryggisráðstefnur þá sendir það einnig starfsmenn á sértækari námskeið s.s. varðandi örugga forritun og Ethical Hacking. Félagið framkvæmir fjölmargar prófanir á ári hverju sem snúa að öryggi innviða, bæði sem hluta af reglulegum viðlaga- og neyðaráætlunum en einnig eru gerðar veikleikaprófanir á þeim innviðum, umhverfi og kerfum sem félagið á, þjónustar og rekur.

Origo leggur mikla áherslu á að allt rekstrar- og þjónustuumhverfi félagsins sé öruggt og að þekking, hæfi og fagmennska starfsmanna sé til fyrirmyndar þegar kemur að upplýsingaöryggi og þjónustu. Markmið félagsins er að vera fyrsti kostur viðskiptavina þegar þeir velja samstarfsaðila við öruggan rekstur upplýsingatækni og þjónustu. Origo hefur verið ISO 27001 vottað frá því í október 2004.

ITIL

Upplýsingavinnsla, ferlar og þjónustustýring félagsins standa á sterkum ITIL grunni sem hefur verið byggður upp af öflugum ITIL sérfræðingum Origo.

Aðferðafræði ITIL tryggir viðskiptavinum öfluga þjónustu og rétt viðbragð auk þess að miða ávallt að því að lágmarka möguleg áhrif af truflunum sem upp kunna að koma. Þjónustustigssamningar (SLA) hafa verið byggðir upp með hliðsjón af ITIL en einnig eru allir þjónustuferlar og þjónustustýringar byggðir upp samkvæmt ITIL aðferðafræði.

Félagið stefnir að því að vera í framvarðasveit þeirra þjónustuaðila á íslenskum markaði sem hafa innleitt og tileinkað sér ITIL og ISO 27001 til þess að stuðla að öruggu rekstrarumhverfi og framúrskarandi þjónustu, bæði gagnvart eigin innviðum og til handa viðskiptavinum.

Áhættumat og áhættustýring Origo

Til grundvallar áhættumati liggja helstu og verðmætustu eignir (assets/verðmæti) sem falla innan umfangs vottunar. Þegar búið er að skilgreina verðmætustu „eignir" og skilgreina eigendur og forsjáraðila er lagt mat á hvaða áhættur eru til staðar gagnvart viðkomandi eign. Þegar búð er að meta ógnir, líkur, tíðni og áhrif er áhætta skjalfest sem „Græn", „Gul" eða „Rauð" og sett í viðeigandi ferli (áhætta ekki til staðar/Græn – áhætta á aðgerðabili/Gul – áhætta sem krefst tafarlausra aðgerða/Rauð). Síðasti hluti áhættumatsins er svo endurmat á áhættu sem lent hefur á aðgerðabili (gulu eða rauðu). Við endurmat er skoðað hvort búið sé að bregðast við þeirri áhættu sem var til staðar og aðgerðir þá samþykktar eða hafnað af öryggisráði sem hefur það hlutverk að fara yfir og samþykkja/loka eða hafna úrlausn eða aðgerðum.

Markmið með áhættumati er að koma auga á þær áhættur sem kunna að vera til staðar í umhverfinu, skilja tilvist þeirra og lágmarka áhættu sem af þeim steðja með aðgerðum, færa annað eða samþykkja.
Áhættumat og áhættustýring skilar stöðugum umbótum jafnt í þjónustu og rekstri og tryggir rétta stjórnun, byggir upp traust hagsmunaaðila á stjórnunarkerfi upplýsingaöryggis, áhættustýringu, lágmarkar áhættu í umhverfi, styrkir stjórnkerfi upplýsingaöryggis og bregst við breytingum á réttan hátt auk þess að vernda félagið á tímum vaxtar eða samdráttar.

ISAE 3402 Type 2

Origo hefur gefið út skýrslu samkvæmt staðlinum ISAE 3402 sem tengist endurskoðun og ársreikningagerð viðskiptavina. Skýrslan, sem er af gerð 2, lýsir hönnun og virkni innra eftirlits Origo og veitti KPMG óháð álit á lýsingu Origo á þjónustulausnum félagsins.

Traustur útvistunar- og rekstraraðili

Umfang skýrslunnar er fjölbreytt og tekur til að mynda til aðgangsstýringa, breytingastjórnunar og atvikastjórnunar ásamt skráningu upplýsingaeigna og notkun þeirra. Skýrslan veitir stjórnendum og endurskoðendum fyrirtækja ákveðna staðfestingu á tölvueftirlitsþáttum í þeim ferlum sem er útvistað til Origo og eru innan umfangs skýrslunnar.

„Við hjá Origo höfum lagt mikla vinnu í þessa skýrslu sem mun skila sér í aukinni hagræðingu og er viðurkenning fyrir okkur sem traustur útvistunar- og rekstraraðili,“ segir Örn Alfreðsson, framkvæmdastjóri Þjónustulausna Origo. 

Umtalsverður ávinningur fyrir viðskiptavini

Tölvuendurskoðun er fastur liður í árlegri endurskoðun hjá flestum fyrirtækjum en alþjóðlegir endurskoðunarstaðlar gera kröfu um að upplýsingaendurskoðun (IT-audit) sé hluti af endurskoðunarvinnu hjá fyrirtækjum, sem á annað borð þurfa á þjónustu endurskoðunar að halda.

Slík vinna getur bæði verið dýr og tímafrek en nú stendur fyrirtækjum til boða að kaupa skýrsluna sem sparar bæði tíma og fjármuni. Útgáfa ISAE skýrslunnar felur því í sér umtalsverðan ávinning fyrir viðskiptavini Origo sem þurfa að fara árlega í gegnum tölvuendurskoðun.

Persónuvernd

Hjá Origo er lögð rík áhersla á vernd og öryggi persónuupplýsinga. Markmið Origo er að öll meðferð persónuupplýsinga hjá félaginu sé í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 og að til staðar séu viðeigandi verklagsreglur og ferlar.

Nánar má lesa um persónuvernd hjá Origo hér.