Kräver ISO 27001 att er organisation gör bakgrundskontroller?

Ibland får SRI frågan i kundmöten eller i andra typer av dialoger om det är så att en ISO 27001 certifiering kräver att man också implementerat rutiner för bakgrundskontroller. Att göra bakgrundskontroller kan för mindre och medelstora organisationer vara förenat med ganska stora kostnader. Har man dessutom aldrig gjort detta tidigare kan ett plötsligt införande också påverka hur personalen uppfattar situationen och det kan slå negativt mot organisationen om detta inte omhändertas korrekt och med en långsiktig proaktiv kommunikation.

Men hur är det då, måste man enligt ISO 27001 göra bakgrundskontroller? Svaret är att nej det måste man inte. Men det rekommenderas på ett tydligt sätt att bakgrundskontroller görs på anställda, underleverantörer, samarbetspartners och konsulter som ett led i gott utövande av sitt informationssäkerhetsarbete och inom organisationen framtagna policy! 

Samtidigt är det viktigt att inte göra bakgrundskontrollerna blint utan istället avvägt och i sak underbyggt! Men det är idag viktigt att en organisation också samlar ihop sina olika ISO-certifieringar och skapar en överblick. Finns där standarder eller andra typer av regulatoriska krav som kräver bakgrundskontroller som ni kanske också har eller lyder under parallellt med ISO 27001? I så fall kanske ni behöver tänka annorlunda. Oavsett har SRI erfarenhet och kompetens att vara er partner i dessa frågor och vi hjälper er gärna att skapa en helhet.