ISO 27001

– Identifierar och skyddar dina informationstillgångar

Att skydda ovärderliga tillgångar, som till exempel personuppgifter eller kundinformation är en självklarhet i dagens informationssamhälle. Men att skydda tillgångar som lagrar, överför eller bearbetar informationen i ett nätverk är svårare. Det är här ISO 27001 kommer in.

Sammanfattning

Ökar informationssäkerheten
Uppfyller krav på informationssäkerhet
Ökar trovärdigheten vid en affär

Med förståelse för vilka tillgångar som är skyddsvärda kan vi utforma ett skräddarsytt system av regler och rutiner för verksamheten som hjälper oss att öka säkerheten. Detta system ska dessutom vara baserat på en riskanalys, så att vi fokuserar insatserna på att hantera incidenter som är sannolika och kan få stora konsekvenser för din verksamhet.

Vissa saker styrs också av lagar, kund- eller leverantörers krav, vilket vi också måste ha i bakhuvudet när vi utformar styrningen.

Scope för ISO 27001

Ett ISO 27001 projekt kan bli ett mycket omfattande arbete, därför är det viktigt att tydligt definiera ett avgränsat område (scope) inom vilket vi vill öka säkerheten. Mindre verksamheter kan omfatta alla sina processer, men större gör gott i att välja ut specifika delar, till exempel en datorhall, processen för ärendehantering eller IT-försörjning. Det gör det enklare att komma framåt samtidigt som kunskapen om informationssäkerhet ökar.

Det är ofta smart att börja smått, för att på sikt utvidga scopet allteftersom vi blir bättre på att tänka systematisk säkerhet. Ofta är kraven på informationssäkerhet från kunder eller andra intressenter riktade mot en särskild del av verksamheten, och då lönar det sig att börja där.

Implementering

Ett vanligt angreppssätt inom ISO27001 är att fokusera stenhårt på tekniska lösningar redan från början. Tekniska lösningar är mycket användbara för att hantera vissa risker, men kan krångla till det i andra sammanhang. Allt för höga krav på lösenord, tvåfaktorsautentisering, kryptering av dokument eller begränsningar till vissa lokaler kan skapa mycket slöseri med tid och frustration som tar viktig tid från kärnverksamheten och gör att människor känner sig misstrodda och tappar engagemang.

Det kan vara minst lika smart att utbilda personal, låta bli hantering av alltför känsliga uppgifter eller kanske lägga över ansvar på leverantörer eller kunder genom avtal. Vissa risker kan också accepteras utan att för den sakens skull äventyra kunder och affärer. Det är helt enkelt för stor kostnad i förhållande till vinst för en viss åtgärd. ISO27001 ställer väldigt få absoluta krav, utan låter istället organisationen utforma sitt skydd utefter eget behov.

Vägen till en ISO27001 certifiering

I början av ett ISO 27001 projekt kan det vara frestande att gå på och börja implementera åtgärder direkt. Ofta har det diskuterats behov av åtgärder av olika slag länge i en verksamhet men på spridda håll och av olika personer. Om ett sådant angreppssätt får dominera finns risken att det blir dålig nytta av åtgärder och att de mest kritiska riskerna förbises.

Standarden ställer tydliga krav på systematik och kriterier för analys av risker och åtgärder. Kriterierna kommer först, därefter ska risker identifieras och utvärderas systematiskt. När kriterierna sätts först blir det mindre tveksamheter och diskussion om vad som faktiskt måste åtgärdas när väl utvärderingen av risker sätter igång.

1. Uppstart

I uppstartsmötet gör vi en nulägesanalys och planerar projektet

2. Styrning/kontroll

Ramar för ledningssystemet definieras och dokumenteras

3. Genomförande

Vi tar fram och dokumenterar rutiner, regler och styrning för projektet

4. Implementering

Vi tar fram utbildningsmaterial och genomför workshops

5. Certifiering

Mer om hur processen ser ut kan du läsa här

Certifieringsprocessen från början till slut

ISO 27000 serien

ISO 27000 är en serie med standarder som omfattar skydd av informationstillgångar. Serien består av ett femtiotal olika publicerade standarder och rymmer allt ifrån nätverkssäkerhet till incidenthantering, riskhantering och säkerhet i programvaror. I ISO 27000 serien finns även en tilläggsstandard (ISO 27701, publicerad 2019) som handlar om dataskydd med fokus kring hantering av personuppgifter kopplat till dataskyddsförordningen. Mer om ISO 27701 kan du läsa på vår tjänstesida.

Mer om ledningssystem från vår kunskapsbank

Certifieringsprocessen från början till slut

Emil Freijd2020-10-09T00:31:06+02:00

Vägen till en ISO 27001 certifiering är inte helt självklar. Om ditt företag precis ska påbörja vägen till en certifiering inom ISO 27001 så kan vägen dit kännas knepig och lång. Denna artikel kommer ...läs mer

ISO 21434 – cybersäkerhet för fordon

Jonathan Mikaelsfjord2020-03-28T22:20:56+01:00

En ny standard inom informationsteknologi håller på att tas fram; ISO 21434. Denna nya standard är specifikt riktad mot vägfarande fordon och ämnar skydda dessa mot IT- och cyberangrepp. Målet med standarden är ...läs mer

Hör av dig!

Verkar det här intressant för ditt företag kan du antingen skicka ett meddelande med kontaktfunktionen till höger, eller helt enkelt lyfta på luren och ringa.

Tel: 020 – 66 99 00
Besöksadress: Östra Storgatan 67, Jönköping

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID		Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
LS_CSRF_TOKEN	session	This cookie is set by the provider Cloudflare. This cookie is used for the purpose of website security that is Cross-Site-Request forgery prevention. It is used to identify the trusted web traffic.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Varaktighet	Beskrivning
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.

Cookie	Varaktighet	Beskrivning
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_UA-112487526-1	1 minute	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
vuid	2 years	This domain of this cookie is owned by Vimeo. This cookie is used by vimeo to collect tracking information. It sets a unique ID to embed videos to the website.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
b3e783bb62		This cookie is set by the provider Zoho. This cookie is used for collecting information on user interaction with the web-campaign content. This cookie helps the website owners to promote products and events on the CRM-campaign-platform.
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp		No description
1e5a17c8ab		No description
2d719b1dd3		No description
3eb9b21c5c		No description
45342b9b1e		No description
ad2d102645		No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 7 months	No description
li_gc	2 years	No description
secify-_zldp	2 years	No description
secify-_zldt	1 day	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
zc_consent	1 year	No description
zc_cu	1 year	No description
zc_cu_exp	1 year	No description
zc_loc	session	No description
zc_show	1 year	No description
zc_tp	1 year	No description
ZCAMPAIGN_CSRF_TOKEN	session	No description