Så förbereder du dig inför en ISO/IEC 27001 implementering och certifiering tillsammans med oss!

Lena Graungaard Lindahl 18 oktober, 2023

Introduktion

Vägledning för dig som siktar mot certifiering

Är du och din organisation i tankarna om att bli certifierade i ISO27001 – ledningssystem för informationssäkerhet? Då tänker ni helt rätt – i en föränderlig omvärld med stigande hot och höga krav på informationssäkerhet är en certifiering klokt att överväga!

Rådgivare med lång bakgrund inom ISO 27001

Vi har lång erfarenhet att stödja organisationer i deras strävan att bli ISO 27001 certifierade, en omfattande process som kräver både kunskap, tid och resurser. Tillsammans med våra kunder skräddarsyr vi en anpassad plan mot certifiering, baserad på dina mål och förutsättningar. Att ta hjälp av oss är fördelaktigt för att säkerställa att du fokuserar på rätt områden, att du upprätthåller rätt standard och arbetar effektivt mot en certifiering.

För att maximera effekten i arbetet har vi på Secify sammanställt några tips på vad du kan göra innan du påbörjar ett implementeringsprojekt tillsammans med oss. Här kommer några användbara råd:

Bärbar dator med kaffekopp i bakgrunden, på koppen står det Secify

Här kommer några användbara råd:

1. Undersök vad som redan finns på plats. Kanske har din organisation redan en process för internrevisioner, riskhantering och avvikelsehantering (vilket är centrala delar i ISO27001-standarden), och ni har säkerligen en del säkerhetskontroller, såsom behörighetsstyrning och bakgrundskontroller vid nyanställning, som utgör viktiga säkerhetsåtgärder för att hantera risker inom en organisation. Det bästa sättet att ta reda på din organisations nuvarande lägesbild är genom en ISO27001 GAP-analys.
  
  Vår erfarenhet är att det blir mer kostnadseffektivt både vad gäller tid och pengar om du går i rätt riktning från början, i stället för att behöva backa och börja om.
  
  En GAP-analys är en metod för att mäta och identifiera skillnaden mellan en organisations nuvarande prestationer och dess önskade mål eller framtida tillstånd. Detta ger dig en tydlig bild av var din organisation befinner sig och vad som behöver åtgärdas för att uppfylla standardens krav. Det kommer även att minska risker för misstag, motverka dubbelarbete och ger er en stark grund för att utarbeta en projektplan. Vår erfarenhet är att det blir mer kostnadseffektivt både vad gäller tid och pengar om du går i rätt riktning från början, i stället för att behöva backa och börja om. Detta är något vi på Secify hjälper er med för att få en bra start på arbetet!
2. Ladda ner ISO 27001:2022-standarden. Det är denna standard som du kommer att certifieras enligt. För att få en bättre förståelse av säkerhetsåtgärderna i standardens Bilaga A rekommenderar vi även att du laddar ner ISO27002:2022-standarden. ISO 27003:2017 är också en utmärkt komplimenterande standard för att förstå ISO27001-kraven bättre. Du kan laddar du dessa standarder via sis.se.Har du aldrig arbetat med standarder tidigare kan det vara knepigt att komma in i själva strukturen och språket i standarden. ISO 27000 kan vara en bra referens för att förstå språket och strukturen.
  - ISO/IEC 27000:2018: Informationsteknik – Säkerhetstekniker – Ledningssystem för informationssäkerhet – Översikt och termologi
    Förklaring: Innehåller grundläggande termer och definitioner som används inom hela ISO-27000-serien.
  - ISO/IEC 27001:2022: Informationssäkerhet – Cybersäkerhet och integritetsskydd – Ledningssystem för informationssäkerhet – Krav
    Förklaring: Det centrala standarddokumentet för informationssäkerhet som fastställer kraven för att etablera och upprätthålla ett ledningssystem för informationssäkerhet. Det är denna standard som din organisation kan certifiera sig enligt.
  - ISO/IEC 27002:2022: Informationssäkerhet, cybersäkerhet och integritetsskydd – Kontroller av informationssäkerhet
    Förklaring: Innehåller praktiskt vägledning om hur man implementerar säkerhetskontrollerna som finns ISO/IEC 27001:2022 standarden bilaga A.
  - ISO27003:2017: Informationsteknik – Säkerhetstekniker – Ledningssystem för informationssäkerhet – Vägledning
    Förklaring: Ger omfattande riktlinje och vägledning för att hjälpa organisationer att förstå och implementera ISO/IEC 27001-standarden effektivt.För att underlätta ditt arbete med standarderna, rekommenderar vi även att du investerar i böcker om ISO27001. För många är det trevligt att variera läsning från en dataskärm med en fysisk bok. Böcker om ISO27001 innehåller oftast praktiska exempel på hur kontrollerna i standarden kan implementeras. Om du önskar bidrar vi gärna med bokrekommendationer!
3. Se till att du har ledningens fulla stöd. Ledningens engagemang och stöd är avgörande för en framgångsrik implementering av ISO27001. Det är viktigt att de prioriterar ISO27001-certiferingen och tillhandahåller tillräckligt med interna och externa resurser för att säkerställa en framgångsrik implementering! Förbered ledningen på extrainsatta ledningsmöten för informationsutbyte och godkännande av nya styrdokument.
4. Tänk på om du ska certifiera hela organisationen eller bara vissa specifika delar, som processer, produkter, geografiska områden där din organisation är verksam, eller avdelningar. Det kan hända att vissa av dina processer är underlagda specifika lagkrav, som NIS och NIS2, medan andra inte är det. Är det nödvändigt att certifiera hela organisationen? Vad efterfrågar dina kunder?
  
  Att ha någon som ser till att ni är på rätt väg sparar mycket resurser, tid och frustration.
  
  Det finns fördelar och nackdelar med att certifiera bara delar av organisationen eller hela organisationen när det kommer till tid, komplexitet, externa och interna krav, gränssnitt och beroenden, effektivitet och övergripande skydd. Om du känner att det är svårt att fatta detta beslut själv, så är det något vi på Secify kan hjälpa dig med!
5. Våga ta hjälp och vägledas av någon som kan och har gjort det tidigare när ni gör en GAP-analys, tar fram en projektplan, skapar mallar, genomför riskanalyser, utbildningar, workshops, fastställer omfattningen av ledningssystemet, etc. Att ha någon som ser till att ni är på rätt väg sparar mycket resurser, tid och frustration. Vi finns här för att ta din organisation genom hela den processen!
6. Skapa en ISO 27001-projektgrupp med olika kompetensområden som tillsammans med projektledaren kan driva projektet framåt. Projektgruppen kan se olika ut beroende på organisation. Men personer med följande kompetens och erfarenhet är bra att ha med:- Projektledning
  - IT-kunskap
  - Fysisk säkerhet
  - HR
  - Förvaltning och ledning
  - Kvalitet (avvikelsehantering och revision)
7. Informera alla i din organisation om projektet så att de är väl medvetna om vad som väntar och vad som kan behövas av dem.
8. Skapa en dokumentationsmall som ska användas när du utvecklar nya policys, procedurer och riktlinjer (flera nya styrande dokument behöver tas fram i och med implementeringen). Genom en ISO27001 GAP-analys innan implementeringsstart tar du reda på om dina befintliga dokumentmallar uppfyller ISO27001-standardens krav.
9. Tänk långsiktigt – även om implementeringen kan ses som ett projekt, så avslutas inte arbetet efter certifieringen. ISO27001 handlar om att kontinuerligt arbeta med informationssäkerhet och att ständigt förbättra ledningssystemet. Fundera på vem inom organisationen som bör ta det övergripande ansvaret för ledningssystemet; en så kallad ”informationssäkerhetssamordnare”, ”CISO”, eller ”säkerhetsansvarig” – eller vad du nu väljer att kalla rollen. Om du inte har tillräckligt med tid och resurser internt, kan det vara klokt att ta in en extern CISO som säkerställer att ditt ledningssystem upprätthålls även efter en certifiering.

Avslutning

Kom ihåg att vara ISO 27001-certifierad inte enbart skyddar er från säkerhetshot, utan även minskar risken för regulatoriska påföljder, förbättrar ditt anseende, minskar behovet av frekventa kundrevisioner samt leder till bättre organisatorisk struktur och fokus!

Vi hoppas att detta kommer att vara till nytta för dig och ser fram emot att samarbeta med er!

Om
Senaste inläggen

Lena Graungaard Lindahl

Managementkonsult - Informationssäkerhet och privacy på Secify

Lena har en masterexamen i data- och systemvenskap med inriktning informationssäkerhet och har tidigare arbetat på olika myndigheter i Sverige. Hos oss jobbar Lena inom områdena privacy och informationssäkerhet.

Senaste inläggen av Lena Graungaard Lindahl

NIS2-direktivet – vad innebär det för svenska organisationer? - 3 april, 2024
Vad är informationssäkerhet? - 6 december, 2023
Så förbereder du dig inför en ISO/IEC 27001 implementering och certifiering tillsammans med oss! - 18 oktober, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.