Certifieringsprocessen från början till slut

Emil Freijd 8 maj, 2020

Introduktion

En inte alltid helt självklar väg att gå

Vägen till en ISO 27001 certifiering är inte helt självklar. Om ditt företag ska påbörja resan till en certifiering inom ISO 27001 så kan vägen dit ibland kännas knepig och lång. Denna artikel kommer att beskriva de grundläggande delarna i hur en certifieringsprocess ser ut från början till slut och kanske hjälper dig att ta första steget.

Hur kan ett ledningssystem för informationssäkerhet öka säkerheten?

Då antalet internetanvändare enbart i Sverige är hela 84% av befolkningen så är det inte konstigt att antalet digitala attacker ökar i allt större grad. Detta drabbar i sin tur Sveriges 1.2 miljoner företag av varierande storlek. En digital attack mot ditt företag kan leda till bland annat driftstopp, avbrott i verksamheten, ekonomiska kostnader, minskat värde av immateriella rättigheter, GDPR lagbrott (som leder till böter), skador på företagets rykte etcetera, listan kan göras lång.

För att minska risken för diverse typer av attacker och övrig informationsstörande aktiviteter kan man därför skapa ett ledningssystem för informationssäkerhet (LIS). Detta rekommenderas att göras enligt ISO/IEC 27001 som är en internationell standard för utformningen av ledningssystem för informationssäkerhet. Då informationssäkerhet är en färskvara så bör LIS hållas uppdaterat och även upprätthålla de krav som ISO/IEC 27001 ställer på ledningssystemet. Bästa sättet att säkerställa så att din organisations LIS upprätthåller rätt nivå är att ISO/IEC 27001-certifiera sig.

Har man ingen förkunskap om hur processen ser ut från noll till certifiering kan vägen dit kännas alldeles för lång och blotta tanken på den osäkerheten kan vara tillräckligt för att företaget ska avstå från att bygga upp ett väl fungerande LIS. Det kan då resultera i dem nämnda riskerna ovan.

Varför certifiera sig?

Företag livnär sig på att knyta band med andra företag och detta skapar komplexa nätverk av information som flyttar in och ut ur företag. I dagens samhälle är det information som är den absolut viktigaste resursen. Det är därför en generellt accepterad tanke att man bör skydda denna information.

Med intågandet av GDPR (2018) så kom en stor våg av krav på B2B men även B2C att personlig-data ska lagras och brukas på ett säkert sätt som inte skadar privatpersoners integritet vars data behandlas. Detta främst för att förhålla sig till lagar samt att inte missbruka sin data.

Är ditt företag leverantör av samhällsviktiga tjänster till exempel el, vatten och dylikt så är det inte omöjligt att ni faller under NIS-direktivet. NIS är en europeisk lagstiftning vars syfte är att sätta krav på kritiska företag att kontinuerligt jobba med informationssäkerhet. Det är dessutom upp till varje företag att själva undersöka ifall dem faller under NIS-direktivet och därav påverkas av deras krav.

För att organisationen ska arbeta med informationssäkerhet och uppnå de krav som ställs av kunder, leverantörer och lagar så kan din organisation införskaffa ett ISO 27001-certifikat. Detta certifikat är en stämpel på att din organisation tar informationssäkerhet på högsta allvar och arbetar på ett strukturerat och effektivt sätt för att uppnå en hög informationssäkerhet.

Om en av dina kunder eller leverantörer ställer ett krav på er att ni ska inneha en ISO 27001-certifiering. Kan det först kännas som en otroligt lång och komplex process. Men det är egentligen inte så avancerat. Nedan är dem delar som kommer efter att kravet eller behovet av en ISO 27001-certifiering uppstått.

Vägen mot en certifiering

Secify-certifieringsprocess

Processen

Så här kommer du igång med din ISO 27001 certifiering

Planering

En av de kanske viktigaste delarna är att få med ledningen i arbetet mot en ISO 27001 certifiering. Utan deras stöd blir processen minst sagt utmanande och svår att genomföra. Ledningen kan även ge stor insikt i områden som inte omfattas av andra avdelningar.

Identifiera varför ni är i behov av en certifiering. Förstår ni hur er organisation ser ut internt och externt? Vilka lagar och regler faller ni under? Har ni känslig information i form av personuppgifter eller produktritningar som inte får läcka ut?

Det är även bra om ledningen läser på om hur en certifiering fungerar och hur standarden ser ut. Det kan därför vara bra att läsa whitepapers och artiklar som den du läser just nu gällande ISO 27001.

Uppstart

Det finns flera vägar att gå när det kommer till ISO 27001 arbete känns det som att det är en lång och krånglig process att uppnå en ISO 27001-certifiering så bör man ta hjälp av en expert inom ISO 27001.

Dels för att säkerställa så att man får rätt erfarenhet och kunskap. En expert kan bidra till att standarden följs och LIS byggs upp på ett bra sätt samt vägleder dig genom hela eller delar av certifieringsprocessen.

Styrning/kontroll

Ramar för ledningssystemet definieras och dokumenteras. Detta inkluderar att avgöra vem som bär ansvar för LIS, schemalägga återkommande aktiviteter samt reguljära granskningar för att identifiera förbättringar.

Här kan vi testa bland annat SQL servrar, VPN servrar och anslutningar, mejl-servrar, brandväggar, FTP och fil-servrar, sammankopplade tredjepartsystem och andra ingångar in till organisationens interna nätverk och system. Utöver det kan vi också testa IT-systemets operativsystem och undersöka samt ge råd för att konfigurera det på ett säkert sätt (härdning).

Fördelar med att penetrationstesta infrastruktur

  • Hittar och testar CVE sårbarheter
  • Identifierar brister i brandväggskonfigurationer
  • Identifierar vad en angripare kan göra om den befinner sig på det interna nätverket eller kommer in i nätverket via en VPN-koppling

Genomförande

Informationssäkerhetspolicyn som tas fram ska spegla företagets mål för säkerhet samt framhäva ledningens strategi för informationssäkerhetsarbetet. Policyn innehåller bland annat hur incidenter ska hanteras, hur arbetet med informationssäkerhet är organiserat.

Men även vilka rättigheter samt skyldigheter medarbetarna har i företaget. Samt i vilken grad och takt som systemet ska införas.
Nya processer och rutiner tas fram samt LIS byggs upp detta ser olika ut för varje företag som genomgår en ISO 27001-certifiering.

Genomförandets delar är baserat på SS-ISO/IEC 27001 så att allt håller sig till standarden.

Implementering

Utbildning i form av seminarium och workshops utförs för att bygga upp en sund säkerhetskultur på företaget samt att etablera det nya ledningssystemet.

Detta en viktig aspekt av informationssäkerhetsarbete då ett sunt förnuft i kombination av att faktiskt använda ledningssystemet kan förebygga majoriteten av riskerna som tidigare nämnts. Vidareutveckling av systemet pågår konstant och bör vara en återkommande uppgift.

Innan Certifiering

Organisationen måste ha ett ledningssystem som uppfyller SS-ISO/IEC 27001 kraven. Systemet är en naturlig del av organisationens dagliga verksamhet. Ledningssystemet är väldokumenterat utifrån organisationens förutsättningar. Ledningssystemet och beskrivning underhålls löpande och uppdateras när förändringar görs.

Certifiering

Dags för certifiering! Certifiering i Sverige utförs av diverse certifieringsorgan och baseras på den svenska SS-ISO/IEC 27001 standarden som är framtagen av Svenska Institutet för Standarder (SIS).

Verksamheten blir granskad mot kraven i ISO 27000 av ett ackrediterat certifieringsorgan och får därefter om godkända sin certifiering.

Grattis! Ni har nu klarat av certifiering!

Efter Certifiering

Efter att certifieringen är uppnådd så gäller det att konstant följa upp hur ledningssystemet utvecklas och uppdatera efter behov. Detta för att säkerställa så att ni aktivt fortsätter att jobba med säker informationshantering även efter en certifiering.

Certifieringen i sig är inget vaccin mot attacker utan en stämpel för att ni utför ett gediget arbete med informationshanteringen på företaget. Det är därför väldigt viktigt att undvika de vanliga fallgroparna.

Man bör även regelbundet uppdatera sin certifiering då SS-ISO/IEC 27001 uppdateras allt eftersom tekniken utvecklas.

Vanliga fallgropar

  • Brist på engagemang från ledningen kan leda till att hela ledningssystemet tappar sin slagkraft.
  • Saknas interna resurser för genomförandet.
  • Processägare saknas resurser och mandat att driva och förbättra processerna.
  • Antal delaktiga i projektet är inte tillräckligt.
  • Certifikatet viktigare än systemet, om systemet inte upprätthålls och används tjänar inte certifikatet sitt syfte.
  • För mycket/lite dokumentation.
  • Otydliga eller motsägelsefulla mål.
  • Att inte jobba med säkerhet överhuvudtaget då detta kan resultera i olika typer av förluster för företaget.

Känns det fortfarande svårt och komplext?

ISO 27001-certifieringen kan vara en stor omställning och vi på Secify hjälper mer än gärna er på vägen. Hör gärna av er om ni vill tala med erfarna experter inom området.

Emil Freijd
Senaste inläggen av Emil Freijd