ISO 27001
– Identifierar och skyddar dina informationstillgångar
Att skydda ovärderliga tillgångar, som till exempel personuppgifter eller kundinformation är en självklarhet i dagens informationssamhälle. Men att skydda tillgångar som lagrar, överför eller bearbetar informationen i ett nätverk är svårare. Det är här ISO 27001 kommer in.
Med förståelse för vilka tillgångar som är skyddsvärda kan vi utforma ett skräddarsytt system av regler och rutiner för verksamheten som hjälper oss att öka säkerheten. Detta system ska dessutom vara baserat på en riskanalys, så att vi fokuserar insatserna på att hantera incidenter som är sannolika och kan få stora konsekvenser för din verksamhet.
Vissa saker styrs också av lagar, kund- eller leverantörers krav, vilket vi också måste ha i bakhuvudet när vi utformar styrningen.
Scope för ISO 27001
Ett ISO 27001 projekt kan bli ett mycket omfattande arbete, därför är det viktigt att tydligt definiera ett avgränsat område (scope) inom vilket vi vill öka säkerheten. Mindre verksamheter kan omfatta alla sina processer, men större gör gott i att välja ut specifika delar, till exempel en datorhall, processen för ärendehantering eller IT-försörjning. Det gör det enklare att komma framåt samtidigt som kunskapen om informationssäkerhet ökar.
Det är ofta smart att börja smått, för att på sikt utvidga scopet allteftersom vi blir bättre på att tänka systematisk säkerhet. Ofta är kraven på informationssäkerhet från kunder eller andra intressenter riktade mot en särskild del av verksamheten, och då lönar det sig att börja där.
Implementering
Ett vanligt angreppssätt inom ISO27001 är att fokusera stenhårt på tekniska lösningar redan från början. Tekniska lösningar är mycket användbara för att hantera vissa risker, men kan krångla till det i andra sammanhang. Allt för höga krav på lösenord, tvåfaktorsautentisering, kryptering av dokument eller begränsningar till vissa lokaler kan skapa mycket slöseri med tid och frustration som tar viktig tid från kärnverksamheten och gör att människor känner sig misstrodda och tappar engagemang.
Det kan vara minst lika smart att utbilda personal, låta bli hantering av alltför känsliga uppgifter eller kanske lägga över ansvar på leverantörer eller kunder genom avtal. Vissa risker kan också accepteras utan att för den sakens skull äventyra kunder och affärer. Det är helt enkelt för stor kostnad i förhållande till vinst för en viss åtgärd. ISO27001 ställer väldigt få absoluta krav, utan låter istället organisationen utforma sitt skydd utefter eget behov.
Vägen till en ISO27001 certifiering
I början av ett ISO 27001 projekt kan det vara frestande att gå på och börja implementera åtgärder direkt. Ofta har det diskuterats behov av åtgärder av olika slag länge i en verksamhet men på spridda håll och av olika personer. Om ett sådant angreppssätt får dominera finns risken att det blir dålig nytta av åtgärder och att de mest kritiska riskerna förbises.
Standarden ställer tydliga krav på systematik och kriterier för analys av risker och åtgärder. Kriterierna kommer först, därefter ska risker identifieras och utvärderas systematiskt. När kriterierna sätts först blir det mindre tveksamheter och diskussion om vad som faktiskt måste åtgärdas när väl utvärderingen av risker sätter igång.
1. Uppstart
I uppstartsmötet gör vi en nulägesanalys och planerar projektet
2. Styrning/kontroll
Ramar för ledningssystemet definieras och dokumenteras
3. Genomförande
Vi tar fram och dokumenterar rutiner, regler och styrning för projektet
4. Implementering
Vi tar fram utbildningsmaterial och genomför workshops
5. Certifiering
Mer om hur processen ser ut kan du läsa här
ISO 27000 serien
ISO 27000 är en serie med standarder som omfattar skydd av informationstillgångar. Serien består av ett femtiotal olika publicerade standarder och rymmer allt ifrån nätverkssäkerhet till incidenthantering, riskhantering och säkerhet i programvaror. I ISO 27000 serien finns även en tilläggsstandard (ISO 27701, publicerad 2019) som handlar om dataskydd med fokus kring hantering av personuppgifter kopplat till dataskyddsförordningen. Mer om ISO 27701 kan du läsa på vår tjänstesida.
Mer om ledningssystem från vår kunskapsbank
Certifieringsprocessen från början till slut
Vägen till en ISO 27001 certifiering är inte helt självklar. Om ditt företag precis ska påbörja vägen till en certifiering inom ISO 27001 så kan vägen dit kännas knepig och lång. Denna artikel kommer ...läs mer
ISO 21434 – cybersäkerhet för fordon
En ny standard inom informationsteknologi håller på att tas fram; ISO 21434. Denna nya standard är specifikt riktad mot vägfarande fordon och ämnar skydda dessa mot IT- och cyberangrepp. Målet med standarden är ...läs mer
