Informationssäkerhet med hjälp av ISO 27001 Certifiering
ISO 27001 är en del av serie standarder som omfattar skydd av informationstillgångar av olika slag. Den kompletta serien består av ett femtiotal olika standarder som rymmer allt ifrån nätverkssäkerhet till incidenthantering, riskhantering och säkerhet i programvaror. Genom att arbeta utifrån ett ledningssystem så får hela din organisationen ett bättre skydd för organisationens informationstillgångar.
Vi hjälper din organisation med ledningssystemet
Våra konsulter har arbetat väldigt länge med ISO 27001 och har djup kunskap inom ledningssystem. Vi har tillsammans väglett både stora och lite mindre företag mot en certifiering. Eftersom ISO 27001 också berör många av våra övriga tjänster, är det också något som vi är riktigt bra på.
Det här hjälper vi till med i en ISO 27001 certifiering:
- Upplägg och projektledning
- Utbildningar och stödinsatser
- Ledning av arbetet
- Stöd vid certifiering av ISO 27001
Ledningssystem för informationssäkerhet skapar skydd
Att skydda ovärderliga tillgångar, som till exempel personuppgifter eller kundinformation är en självklarhet i dagens informationssamhälle. Men att skydda tillgångar som lagrar, överför eller bearbetar informationen i ett nätverk är svårare. Det är här ISO 27001 kommer in. Med förståelse för vilka tillgångar som är värda att skydda, kan vi utforma ett skräddarsytt system av regler och rutiner för verksamheten som hjälper till att öka informationssäkerheten. Detta system ska dessutom vara baserat på en riskanalys, så att vi fokuserar insatserna på att hantera incidenter som är sannolika och kan få stora konsekvenser för verksamheten. Vissa saker styrs också av lagar, kund- eller leverantörers krav, vilket vi också måste ha i bakhuvudet när vi utformar styrningen.
Vill du veta mer?
Hör av dig till oss så hjälper vi dig att komma igång med din certifiering för ISO 27001.
Så här tycker våra kunder
”Som vårt externa Dataskyddsombud har Secify har hjälpt oss att lösa komplexa frågor rörande dataskydd. De har på ett föredömligt sätt gett råd, stöttat och granskat vår verksamhets behandling av personuppgifter. Den expertkompetens som vi får av Secify skapar förutsättningar för ett fortsatt tryggt dataskyddsarbete i vår organisation.”
SCOPE FÖR ISO 27001
Ett projekt inom ISO 27001 kan bli ett mycket omfattande arbete. Därför är det viktigt att tydligt definiera ett avgränsat område (scope) inom vilket vi vill öka informationssäkerheten. Mindre verksamheter kan omfatta alla sina processer, men större företag gynnas av att välja ut specifika delar. Detta kan till exempel omfatta en datorhall, processen för ärendehantering eller IT-försörjning. Det gör det enklare att komma framåt samtidigt som kunskapen om informationssäkerhet och ISO 27001 ökar inom verksamheten. Ofta är också kraven på informationssäkerhet från kunder eller andra intressenter riktade mot en särskild del av verksamheten, och då lönar det sig att börja där.
IMPLEMENTERING av ISO 27001
Ett vanligt angreppssätt inom ISO 27001 är att fokusera på tekniska lösningar redan från början. Tekniska lösningar är mycket användbara för att hantera vissa risker, men kan krångla till det i andra sammanhang. Allt för höga krav på lösenord, tvåfaktorsautentisering, kryptering av dokument och begränsningar till vissa lokaler stjäl ofta viktig tid från kärnverksamheten och gör att människor känner sig misstrodda och tappar engagemang. Dessutom har vi sett att personal hittar egna osäkra genvägar för att kringgå en allt för åtstramad säkerhet.
Det kan vara minst lika smart att utbilda personal och låta bli hantering av allt för känsliga uppgifter, eller kanske lägga över ansvar på leverantörer eller kunder genom avtal. Vissa risker kan också accepteras utan att för den sakens skull äventyra kunder och affärer. ISO 27001 ställer väldigt få absoluta krav utan låter istället organisationen utforma sitt skydd utefter eget behov.
VÄGEN TILL EN ISO 27001 CERTIFIERING
Standarden ställer tydliga krav på systematik och kriterier för analys av risker och åtgärder. Kriterierna kommer först, därefter ska risker identifieras och utvärderas systematiskt. När kriterierna sätts först blir det mindre tveksamheter och diskussion om vad som faktiskt måste åtgärdas när väl utvärderingen av risker sätter igång. Det här är ett exempel på hur en plan för ISO 27001 kan se ut.
- Uppstart av projektet för ISO 27001
I uppstartsmötet gör vi en nulägesanalys och planerar projektet - Styrning/kontroll
Ramar för ledningssystemet definieras och dokumenteras - Genomförande
Vi tar fram och dokumenterar rutiner, regler och styrning för projektet - Implementering
Vi tar fram utbildningsmaterial och genomför workshops - Certifiering för ISO 27001
Mer om hur processen ser ut kan du läsa här
Frågor och svar
Här finns svar på de vanligaste frågorna om ISO 27001. Har du en fråga som inte finns med? Använd kontaktformuläret lite längre ner på sidan.
Ja, det finns fler ledningssystem för informationssäkerhet, bland annat NIST CSF och ISF.
Efter att man blivit certifierad genomgår man årliga revisioner för att säkerställa att organisationen fortsätter att uppfylla kraven i ISO 27001. Vart tredje år görs en omcertifiering som är en lite större revision.
Syftet med ISO 27001 är att genom ledningsystemets arbete öka säkerheten i organisationen.
Nej, alla behöver i dagsläget inte ha en ISO 27001 certifiering. Men det finns en stark indikation på att vissa organisationer som omfattas av NIS2 kommer att ha arbete med ledningssystem som krav.
För att bli certifierad krävs att man arbetar med informationssäkerhet på ett systematiskt sätt samt uppfyller de krav som ISO 27001 ställer. Själva ordet certifiering betyder godkänd revision. För att kunna bli certifierad krävs då att man först genomgår en certifieringsrevision.
Behovet av ett ledningssystem för informationssäkerhet (LIS) kommer ofta i form av ett krav ifrån en leverantör, underleverantör, samarbetspartner, myndighet eller förordning.
ISO 27001 ger organisationen ett standardiserat sätt att arbeta med säkerheten. Med andra ord så börjar organisationen att arbeta ur ett best-practice sätt som är framtaget av IT- och informationssäkerhetsexperter på hur man bäst, i sin organisation arbetar med säkerhet.
Det går absolut att arbeta mot en certifiering utan att nödvändigtvis certifieras. Det man vinner av ett sådant arbete är en ökad säkerhet som genomsyrar organisationens alla skikt.
Det går att genomföra ett ISO-arbete utan extern hjälp. Tyvärr tar den vägen ofta väldigt mycket längre tid än att anlita en konsult. En god idé är att köpa standarden och därefter läsa igenom och bygga ett eget ramverk som du implementerar i din organisation genom olika insatser som exempelvis processer och rutiner, utbildningar och säkerhetshöjande åtgärder.
Efter att ledningssystemet har införts och organisationen klarat av en internrevision ska ett oberoende certifieringsorgan granska och bedöma organisationen / ledningssystemet för att säkerställa att kraven är uppfyllda. Om revisionen godkänns av det oberoende organet så beviljas certifieringen.
Hur lång tid det tar att certifieras beror framförallt på hur säkerhetsmogna ni är som organisation, det vill säga om ni har arbetat med informationssäkerhet innan och har vissa processer redan klara. Andra delar som påverkar är hur stora ni är som bolag, vilken prioritet som certifieringen har samt vilket scoop vi väljer att certifieras. I regel tar det uppskattningsvis mellan 6-12 månader, men vi har haft projekt som har tagit längre tid.
Hela organisationen blir mer motståndskraftig mot cyberangrepp. Medvetenheten, tekniska och organisatoriska åtgärder för att öka säkerheten sätts i fokus och genomsyrar hela organisationen. Utöver det så uppfyller en certifierad organisation många av de krav som samarbetspartners kan ställa inför ett samarbete.
ISO 27001 är ett ledningssystem för informationssäkerhet. Genom att använda det i sin organisation får man ett standardiserat arbetssätt utifrån alla aspekter av säkerhet.
