Informationssäkerhet med hjälp av ISO 27001 Certifiering
ISO 27001 är en del utav en stor serie standarder som omfattar skydd av informationstillgångar av olika slag. Genom att skaffa en ISO 27001 certifiering så får ni ett bättre skydd av era informationstillgångar. Den kompletta serien består av ett femtiotal olika standarder som rymmer allt ifrån nätverkssäkerhet till incidenthantering, riskhantering och säkerhet i programvaror. Vi har stor kunskap kring ISO 27001 och vi kan hjälpa er genom hela certifieringen. Inom ISO 27000-serien finns även en tilläggsstandard som kallas ISO 27701. Denna serie handlar om dataskydd med fokus kring hantering av personuppgifter kopplat till dataskyddsförordningen.
Vi hjälper din organisation med ledningssystemet
Att skydda ovärderliga tillgångar, som till exempel personuppgifter eller kundinformation är en självklarhet i dagens informationssamhälle. Men att skydda tillgångar som lagrar, överför eller bearbetar informationen i ett nätverk är svårare. Det är här ISO 27001 certifiering kommer in. Med förståelse för vilka tillgångar som är värda att skydda, kan vi utforma ett skräddarsytt system av regler och rutiner för verksamheten som hjälper till att öka informationssäkerheten. Detta system ska dessutom vara baserat på en riskanalys, så att vi fokuserar insatserna på att hantera incidenter som är sannolika och kan få stora konsekvenser för din verksamhet. Vissa saker styrs också av lagar, kund- eller leverantörers krav, vilket vi också måste ha i bakhuvudet när vi utformar styrningen.
Våra konsulter har bred och djup kunskap inom ISO 27001 där vi både väglett stora och små företag mot certifiering och ett bättre arbetssätt i organisationen. Ledningssystem för informationssäkerhet (LIS) ligger oss lite extra varmt om hjärtat. Det beror på att arbetssättet ofta berör många av våra övriga tjänster, det är också något som vi är riktigt bra på.
Det här hjälper vi till med i en ISO 27001 certifiering
- Upplägg och projektledning
- Utbildningar och stödinsatser
- Ledning av arbetet
- Stöd vid certifiering av ISO 27001
Vill du veta mer?
Hör av dig till oss så hjälper vi dig att komma igång med din certifiering för ISO 27001.
Så här tycker våra kunder
”Som vårt externa Dataskyddsombud har Secify har hjälpt oss att lösa komplexa frågor rörande dataskydd. De har på ett föredömligt sätt gett råd, stöttat och granskat vår verksamhets behandling av personuppgifter. Den expertkompetens som vi får av Secify skapar förutsättningar för ett fortsatt tryggt dataskyddsarbete i vår organisation.”
SCOPE FÖR ISO 27001
Ett projekt inom ISO 27001 kan bli ett mycket omfattande arbete. Därför är det viktigt att tydligt definiera ett avgränsat område (scope) inom vilket vi vill öka informationssäkerheten. Mindre verksamheter kan omfatta alla sina processer, men större företag gör gott i att välja ut specifika delar. Detta kan till exempel omfatta en datorhall, processen för ärendehantering eller IT-försörjning. Det gör det enklare att komma framåt samtidigt som kunskapen om informationssäkerhet och ISO 27001 ökar inom verksamheten.
Det är ofta smart att börja smått, för att på sikt utvidga scopet allt eftersom vi blir bättre på att tänka systematisk säkerhet. Ofta är kraven på informationssäkerhet från kunder eller andra intressenter riktade mot en särskild del av verksamheten, och då lönar det sig att börja där.
IMPLEMENTERING av ISO 27001
Ett vanligt angreppssätt inom ISO 27001 är att fokusera stenhårt på tekniska lösningar redan från början. Tekniska lösningar är mycket användbara för att hantera vissa risker, men kan krångla till det i andra sammanhang. Allt för höga krav på lösenord, tvåfaktorsautentisering, kryptering av dokument eller begränsningar till vissa lokaler kan skapa mycket slöseri med tid och frustration. Detta stjäl viktig tid från kärnverksamheten och gör att människor känner sig misstrodda och tappar engagemang, dessutom har vi sett att personal hittar egna osäkra genvägar för att kringgå en allt för åtstramad säkerhet.
Det kan vara minst lika smart att utbilda personal och låta bli hantering av allt för känsliga uppgifter, eller kanske lägga över ansvar på leverantörer eller kunder genom avtal. Vissa risker kan också accepteras utan att för den sakens skull äventyra kunder och affärer. Det är helt enkelt för stor kostnad i förhållande till vinst för en viss åtgärd. ISO 27001 ställer väldigt få absoluta krav, utan låter istället organisationen utforma sitt skydd utefter eget behov.
VÄGEN TILL EN ISO 27001 CERTIFIERING
I början av ett ISO 27001 projekt kan det vara frestande att börja implementera åtgärder direkt. Ofta har det diskuterats behov av åtgärder av olika slag länge i en verksamhet på olika håll och av olika personer. Om ett sådant angreppssätt får dominera finns risken att det blir en negativ effekt av åtgärderna, och att de mest kritiska riskerna missas.
Standarden ställer tydliga krav på systematik och kriterier för analys av risker och åtgärder. Kriterierna kommer först, därefter ska risker identifieras och utvärderas systematiskt. När kriterierna sätts först blir det mindre tveksamheter och diskussion om vad som faktiskt måste åtgärdas när väl utvärderingen av risker sätter igång.
- Uppstart
I uppstartsmötet gör vi en nulägesanalys och planerar projektet - Styrning/kontroll
Ramar för ledningssystemet definieras och dokumenteras - Genomförande
Vi tar fram och dokumenterar rutiner, regler och styrning för projektet - Implementering
Vi tar fram utbildningsmaterial och genomför workshops - Certifiering för ISo 27001
Mer om hur processen ser ut kan du läsa här
