ISO 27001

ISO 270012024-05-16T23:08:01+02:00

ISO 27001 Certifiering

Introduktion

ISO 27001 certifiering, projektledning och stöd för införande av ledningssystem för informationssäkerhet

ISO 27001 är en del av en serie standarder som omfattar skydd av informationstillgångar av olika slag. Den kompletta serien består av ett femtiotal olika standarder som rymmer allt ifrån nätverkssäkerhet till incidenthantering, riskhantering och säkerhet i programvaror. Genom att arbeta utifrån ett ledningssystem så får hela din organisation ett standardiserat skydd för era informationstillgångar.

Kontakta oss

Vill du veta mer om våra tjänster och lösningar? Kontakta oss så hjälper vi dig.

Vårt stöd

Vi hjälper din organisation med ledningssystemet

Våra konsulter har arbetat väldigt länge med ISO 27001 och har djup kunskap inom ledningssystem. Vi har tillsammans väglett både stora och lite mindre företag mot en certifiering. Eftersom ISO 27001 också berör många av våra övriga tjänster, är det också något som vi är riktigt bra på.
Det här hjälper vi till med i en ISO 27001 certifiering:

  • Upplägg och projektledning
  • Utbildningar och stödinsatser
  • Ledning av arbetet
  • Stöd vid certifiering av ISO 27001

Grunderna

Att skydda sina ovärderliga tillgångar, som till exempel personuppgifter eller kundinformation är en självklarhet i dagens informationssamhälle. Men att skydda tillgångar som lagrar, överför eller bearbetar informationen i ett nätverk är svårare.

Det är här ISO 27001 kommer in. Med förståelse för vilka tillgångar som är värda att skydda, kan vi utforma ett skräddarsytt system av regler och rutiner för verksamheten som hjälper till att öka informationssäkerheten. Detta system ska dessutom vara baserat på en riskanalys, så att vi fokuserar insatserna på att hantera incidenter som är sannolika och kan få stora konsekvenser för verksamheten. Vissa saker styrs också av lagar, kund- eller leverantörers krav, vilket vi också måste ha i bakhuvudet när vi utformar styrningen.

Scope

Ett projekt inom ISO 27001 kan bli ett mycket omfattande arbete. Därför är det viktigt att tydligt definiera ett avgränsat område (scope) inom vilket vi vill öka informationssäkerheten.

Mindre verksamheter kan omfatta alla sina processer, men större företag gynnas av att välja ut specifika delar. Detta kan till exempel omfatta en datorhall, processen för ärendehantering eller IT-försörjning. Det gör det enklare att komma framåt samtidigt som kunskapen om informationssäkerhet och ISO 27001 ökar inom verksamheten. Ofta är också kraven på informationssäkerhet från kunder eller andra intressenter riktade mot en särskild del av verksamheten, och då lönar det sig att börja där.

Implementering

Ett vanligt angreppssätt inom ISO 27001 är att fokusera på tekniska lösningar redan från början. Tekniska lösningar är mycket användbara för att hantera vissa risker, men kan krångla till det i andra sammanhang.

Allt för höga krav på lösenord, tvåfaktorsautentisering, kryptering av dokument och begränsningar till vissa lokaler stjäl ofta viktig tid från kärnverksamheten och gör att människor känner sig misstrodda och tappar engagemang. Dessutom har vi sett att personal hittar egna osäkra genvägar för att kringgå en allt för åtstramad säkerhet.

Det kan vara minst lika smart att utbilda personal och låta bli hantering av allt för känsliga uppgifter, eller kanske lägga över ansvar på leverantörer eller kunder genom avtal. Vissa risker kan också accepteras utan att för den sakens skull äventyra kunder och affärer. ISO 27001 ställer väldigt få absoluta krav utan låter istället organisationen utforma sitt skydd utefter eget behov.

Några av våra kunder

Processen

Vägen till en ISO 27001 certifiering

Standarden ställer tydliga krav på systematik och kriterier för analys av risker och åtgärder. Kriterierna kommer först, därefter ska risker identifieras och utvärderas systematiskt. När kriterierna sätts först blir det mindre tveksamheter och diskussion om vad som faktiskt måste åtgärdas när väl utvärderingen av risker sätter igång. Det här är ett exempel på hur en plan för ISO 27001 kan se ut.

Uppstart av projektet för ISO 27001

Vi startar upp ISO projektet med att göra en ISO analys. Den ger oss en bättre bild över hur er organisation fungerar samt belyser vilka behov, förväntningar och mål som finns. Därefter kommer vi överens om vilken eller vilka delar av organisationen (scope) som ska inkluderas i ISO projektet.

Planering / analys

Vi sätter upp en plan för hur vi ska fortsätta arbetet med ledningssystemet samt fastställer processer för hur vi ska hitta, analysera och hantera säkerhetsrisker i organisationen.

Implementering

Alla planer och processer körs i gång. Det är nu det operativa säkerhetsarbetet börjar och själva ledningssystemet implementeras i organisationens dagliga arbete.

Förbättring

Vi undersöker vad som fungerade och inte fungerade i implementeringssteget. Därefter gör vi nödvändiga ändringar för att förbättra resultatet samt säkerställer att rutiner för framtida förbättringar fungerar.

Frågor och svar

Här finns svar på de vanligaste frågorna om ISO 27001. Har du en fråga som inte finns med? Använd kontaktformuläret lite längre ner på sidan.

Are there other information security management standards?2022-10-27T21:44:12+02:00

Yes, there are more information security management systems, including NIST CSF and ISF.

What happens after you become certified within ISO 27001?2022-10-27T21:44:13+02:00

After you have been certified, you undergo annual audits to ensure that the organization continues to meet the requirements of ISO 27001. Every three years, recertification is done, which is a slightly larger audit.

What is the purpose of ISO 27001?2022-10-27T21:44:13+02:00

The purpose of ISO 27001 is to increase safety in the organization through the work of the management system.

Do you have to have ISO 27001?2022-10-27T21:44:13+02:00

No, not everyone currently needs to have an ISO 27001 certification. But there is a strong indication that some organizations covered by NIS2 will have management systems work as a requirement.

What is required to become ISO 27001 certified?2022-10-27T21:44:13+02:00

In order to be certified, it is required that you work with information security in a systematic way and meet the requirements set by ISO 27001. The word certification itself means approved audit. In order to be certified, it is then required that you first undergo a certification audit.

When do you need a management system?2022-10-27T21:44:13+02:00

The need for a management system for information security (LIS) often comes in the form of a requirement from a supplier, subcontractor, partner, authority or regulation.

How does ISO 27001 increase my security?2022-10-27T21:44:14+02:00

ISO 27001 gives the organization a standardized way of working with safety. In other words, the organization begins to work from a best-practice way that is developed by IT and information security experts on how best to work with security in their organization.

Can you work with ISO 27001 without being certified?2022-10-27T21:44:14+02:00

It is absolutely possible to work towards a certification without necessarily being certified. What you gain from such work is increased security that permeates all layers of the organization.

How do you start working towards an ISO 27001 certification?2022-10-27T21:44:14+02:00

It is possible to carry out an ISO work without external help. Unfortunately, that route often takes much longer than hiring a consultant. A good idea is to buy the standard and then read through and build your own framework that you implement in your organization through various efforts such as processes and routines, training and security-enhancing measures.

What does the certification process look like?2022-10-27T21:44:14+02:00

After the management system has been introduced and the organization has passed an internal audit, an independent certification body must review and assess the organization / management system to ensure that the requirements are met. If the audit is approved by the independent body, the certification is granted.

How long does it take to be certified?2022-10-27T21:44:14+02:00

How long it takes to be certified depends above all on how security mature you are as an organization, i.e. if you have worked with information security before and have certain processes already completed. Other parts that affect are how big you are as a company, what priority the certification has and which scoop we choose to be certified. As a rule, it takes an estimated 6-12 months, but we have had projects that have taken longer.

What do you gain by being certified?2022-10-27T21:44:14+02:00

The entire organization becomes more resilient to cyber attacks. Awareness, technical and organizational measures to increase security are put in focus and permeate the entire organization. In addition to that, a certified organization fulfills many of the requirements that partners can set for a collaboration.

What is ISO 27001?2022-10-27T21:44:15+02:00

ISO 27001 is a management system for information security. By using it in your organization, you get a standardized way of working based on all aspects of security.

Hör av dig!

Go to Top