ISO 27001

ISO 270012022-06-13T14:33:18+02:00

Informationssäkerhet med hjälp av ISO 27001 Certifiering

ISO 27001 är en del av serie standarder som omfattar skydd av informationstillgångar av olika slag. Den kompletta serien består av ett femtiotal olika standarder som rymmer allt ifrån nätverkssäkerhet till incidenthantering, riskhantering och säkerhet i programvaror. Genom att arbeta utifrån ett ledningssystem så får hela din organisationen ett bättre skydd för organisationens informationstillgångar.

Fördelar med ISO 27001 Certifiering
Bli ISO 27001 Certifierad med Secify

Vi hjälper din organisation med ledningssystemet

Våra konsulter har arbetat väldigt länge med ISO 27001 och har djup kunskap inom ledningssystem. Vi har tillsammans väglett både stora och lite mindre företag mot en certifiering. Eftersom ISO 27001 också berör många av våra övriga tjänster, är det också något som vi är riktigt bra på.
Det här hjälper vi till med i en ISO 27001 certifiering:

  • Upplägg och projektledning
  • Utbildningar och stödinsatser
  • Ledning av arbetet
  • Stöd vid certifiering av ISO 27001

Ledningssystem för informationssäkerhet skapar skydd

Att skydda ovärderliga tillgångar, som till exempel personuppgifter eller kundinformation är en självklarhet i dagens informationssamhälle. Men att skydda tillgångar som lagrar, överför eller bearbetar informationen i ett nätverk är svårare. Det är här ISO 27001 kommer in. Med förståelse för vilka tillgångar som är värda att skydda, kan vi utforma ett skräddarsytt system av regler och rutiner för verksamheten som hjälper till att öka informationssäkerheten. Detta system ska dessutom vara baserat på en riskanalys, så att vi fokuserar insatserna på att hantera incidenter som är sannolika och kan få stora konsekvenser för verksamheten. Vissa saker styrs också av lagar, kund- eller leverantörers krav, vilket vi också måste ha i bakhuvudet när vi utformar styrningen.

Vill du veta mer?

Hör av dig till oss så hjälper vi dig att komma igång med din certifiering för ISO 27001.

Så här tycker våra kunder

BookBeat Logga

”Som vårt externa Dataskyddsombud har Secify har hjälpt oss att lösa komplexa frågor rörande dataskydd. De har på ett föredömligt sätt gett råd, stöttat och granskat vår verksamhets behandling av personuppgifter. Den expertkompetens som vi får av Secify skapar förutsättningar för ett fortsatt tryggt dataskyddsarbete i vår organisation.”

SCOPE FÖR ISO 27001

Ett projekt inom ISO 27001 kan bli ett mycket omfattande arbete. Därför är det viktigt att tydligt definiera ett avgränsat område (scope) inom vilket vi vill öka informationssäkerheten. Mindre verksamheter kan omfatta alla sina processer, men större företag gynnas av att välja ut specifika delar. Detta kan till exempel omfatta en datorhall, processen för ärendehantering eller IT-försörjning. Det gör det enklare att komma framåt samtidigt som kunskapen om informationssäkerhet och ISO 27001 ökar inom verksamheten. Ofta är också kraven på informationssäkerhet från kunder eller andra intressenter riktade mot en särskild del av verksamheten, och då lönar det sig att börja där.

Skydda informationstillgångar med ISO 27001
Secify skyddar dina informationstillgångar

IMPLEMENTERING av ISO 27001

Ett vanligt angreppssätt inom ISO 27001 är att fokusera på tekniska lösningar redan från början. Tekniska lösningar är mycket användbara för att hantera vissa risker, men kan krångla till det i andra sammanhang. Allt för höga krav på lösenord, tvåfaktorsautentisering, kryptering av dokument och begränsningar till vissa lokaler stjäl ofta viktig tid från kärnverksamheten och gör att människor känner sig misstrodda och tappar engagemang. Dessutom har vi sett att personal hittar egna osäkra genvägar för att kringgå en allt för åtstramad säkerhet.

Det kan vara minst lika smart att utbilda personal och låta bli hantering av allt för känsliga uppgifter, eller kanske lägga över ansvar på leverantörer eller kunder genom avtal. Vissa risker kan också accepteras utan att för den sakens skull äventyra kunder och affärer. ISO 27001 ställer väldigt få absoluta krav utan låter istället organisationen utforma sitt skydd utefter eget behov.

VÄGEN TILL EN ISO 27001 CERTIFIERING

Standarden ställer tydliga krav på systematik och kriterier för analys av risker och åtgärder. Kriterierna kommer först, därefter ska risker identifieras och utvärderas systematiskt. När kriterierna sätts först blir det mindre tveksamheter och diskussion om vad som faktiskt måste åtgärdas när väl utvärderingen av risker sätter igång. Det här är ett exempel på hur en plan för ISO 27001 kan se ut.

  1. Uppstart av projektet för ISO 27001
    I uppstartsmötet gör vi en nulägesanalys och planerar projektet
  2. Styrning/kontroll
    Ramar för ledningssystemet definieras och dokumenteras
  3. Genomförande
    Vi tar fram och dokumenterar rutiner, regler och styrning för projektet
  4. Implementering
    Vi tar fram utbildningsmaterial och genomför workshops
  5. Certifiering för ISO 27001
    Mer om hur processen ser ut kan du läsa här
ISO 27001 Certifiering

Frågor och svar

Här finns svar på de vanligaste frågorna om ISO 27001. Har du en fråga som inte finns med? Använd kontaktformuläret lite längre ner på sidan.

Finns det andra ledningssystem för informationssäkerhet (LIS)?2022-06-13T14:24:41+02:00

Ja, det finns fler ledningssystem för informationssäkerhet, bland annat NIST CSF och ISF.

Vad händer efter man blivit certifierad inom ISO 27001?2022-06-13T14:24:26+02:00

Efter att man blivit certifierad genomgår man årliga revisioner för att säkerställa att organisationen fortsätter att uppfylla kraven i ISO 27001. Vart tredje år görs en omcertifiering som är en lite större revision.

Vad är syftet med ISO 27001?2022-06-13T14:24:08+02:00

Syftet med ISO 27001 är att genom ledningsystemets arbete öka säkerheten i organisationen.

Måste man ha ISO 27001?2022-06-13T14:26:25+02:00

Nej, alla behöver i dagsläget inte ha en ISO 27001 certifiering. Men det finns en stark indikation på att vissa organisationer som omfattas av NIS2 kommer att ha arbete med ledningssystem som krav.

Vad krävs för att bli ISO 27001 certifierad?2022-06-13T14:26:12+02:00

För att bli certifierad krävs att man arbetar med informationssäkerhet på ett systematiskt sätt samt uppfyller de krav som ISO 27001 ställer. Själva ordet certifiering betyder godkänd revision. För att kunna bli certifierad krävs då att man först genomgår en certifieringsrevision.

När behöver man ett ledningssystem?2022-06-13T14:23:18+02:00

Behovet av ett ledningssystem för informationssäkerhet (LIS) kommer ofta i form av ett krav ifrån en leverantör, underleverantör, samarbetspartner, myndighet eller förordning.

På vilket sätt ökar ISO 27001 min säkerhet?2022-06-13T14:25:59+02:00

ISO 27001 ger organisationen ett standardiserat sätt att arbeta med säkerheten. Med andra ord så börjar organisationen att arbeta ur ett best-practice sätt som är framtaget av IT- och informationssäkerhetsexperter på hur man bäst, i sin organisation arbetar med säkerhet.

Kan man arbeta med ISO 27001 utan att certfieras?2022-06-13T14:21:41+02:00

Det går absolut att arbeta mot en certifiering utan att nödvändigtvis certifieras. Det man vinner av ett sådant arbete är en ökad säkerhet som genomsyrar organisationens alla skikt.

Hur börjar man arbeta mot en ISO 27001 certifiering?2022-06-13T14:21:26+02:00

Det går att genomföra ett ISO-arbete utan extern hjälp. Tyvärr tar den vägen ofta väldigt mycket längre tid än att anlita en konsult. En god idé är att köpa standarden och därefter läsa igenom och bygga ett eget ramverk som du implementerar i din organisation genom olika insatser som exempelvis processer och rutiner, utbildningar och säkerhetshöjande åtgärder.

Hur går en certfiering till?2022-06-13T14:21:04+02:00

Efter att ledningssystemet har införts och organisationen klarat av en internrevision ska ett oberoende certifieringsorgan granska och bedöma organisationen / ledningssystemet för att säkerställa att kraven är uppfyllda. Om revisionen godkänns av det oberoende organet så beviljas certifieringen.

Hur lång tid tar det att certifieras?2022-06-13T14:19:17+02:00

Hur lång tid det tar att certifieras beror framförallt på hur säkerhetsmogna ni är som organisation, det vill säga om ni har arbetat med informationssäkerhet innan och har vissa processer redan klara. Andra delar som påverkar är hur stora ni är som bolag, vilken prioritet som certifieringen har samt vilket scoop vi väljer att certifieras. I regel tar det uppskattningsvis mellan 6-12 månader, men vi har haft projekt som har tagit längre tid.

Vad vinner man på att certifieras?2022-06-13T14:18:28+02:00

Hela organisationen blir mer motståndskraftig mot cyberangrepp. Medvetenheten, tekniska och organisatoriska åtgärder för att öka säkerheten sätts i fokus och genomsyrar hela organisationen. Utöver det så uppfyller en certifierad organisation många av de krav som samarbetspartners kan ställa inför ett samarbete.

Vad är ISO 27001?2022-06-13T14:15:30+02:00

ISO 27001 är ett ledningssystem för informationssäkerhet. Genom att använda det i sin organisation får man ett standardiserat arbetssätt utifrån alla aspekter av säkerhet.

MER OM LEDNINGSSYSTEM FRÅN VÅR KUNSKAPSBANK

ISO 21434 – cybersäkerhet för fordon

Läs mer

Artikel: ISO27701 – Bättre stöd för GDPR

Läs mer

Artikel: Certifieringsprocessen från början till slut

Läs mer

Hör av dig!

Verkar det här intressant för ditt företag kan du antingen skicka ett meddelande med kontaktfunktionen, eller helt enkelt lyfta på luren och ringa.

Tel: 020 – 66 99 00
Besöksadress: Östra Storgatan 67, Jönköping