ISO 27001
– Identifierar och skyddar dina informationstillgångar
Att skydda ovärderliga tillgångar, som till exempel personuppgifter eller kundinformation är en självklarhet i dagens informationssamhälle. Men att skydda tillgångar som lagrar, överför eller bearbetar informationen i ett nätverk är svårare. Det är här ISO 27001 kommer in.
Med förståelse för vilka tillgångar som är skyddsvärda kan vi utforma ett skräddarsytt system av regler och rutiner för verksamheten som hjälper oss att öka säkerheten. Detta system ska dessutom vara baserat på en riskanalys, så att vi fokuserar insatserna på att hantera incidenter som är sannolika och kan få stora konsekvenser för din verksamhet.
Vissa saker styrs också av lagar, kund- eller leverantörers krav, vilket vi också måste ha i bakhuvudet när vi utformar styrningen.
Scope för ISO 27001
Ett ISO 27001 projekt kan bli ett mycket omfattande arbete, därför är det viktigt att tydligt definiera ett avgränsat område (scope) inom vilket vi vill öka säkerheten. Mindre verksamheter kan omfatta alla sina processer, men större gör gott i att välja ut specifika delar, till exempel en datorhall, processen för ärendehantering eller IT-försörjning. Det gör det enklare att komma framåt samtidigt som kunskapen om informationssäkerhet ökar.
Det är ofta smart att börja smått, för att på sikt utvidga scopet allteftersom vi blir bättre på att tänka systematisk säkerhet. Ofta är kraven på informationssäkerhet från kunder eller andra intressenter riktade mot en särskild del av verksamheten, och då lönar det sig att börja där.
Implementering
Ett vanligt angreppssätt inom ISO 27001 är att fokusera stenhårt på tekniska lösningar redan från början. Tekniska lösningar är mycket användbara för att hantera vissa risker, men kan krångla till det i andra sammanhang. Allt för höga krav på lösenord, tvåfaktorsautentisering, kryptering av dokument eller begränsningar till vissa lokaler kan skapa mycket slöseri med tid och frustration som tar viktig tid från kärnverksamheten och gör att människor känner sig misstrodda och tappar engagemang.
Det kan vara minst lika smart att utbilda personal, låta bli hantering av alltför känsliga uppgifter eller kanske lägga över ansvar på leverantörer eller kunder genom avtal. Vissa risker kan också accepteras utan att för den sakens skull äventyra kunder och affärer. Det är helt enkelt för stor kostnad i förhållande till vinst för en viss åtgärd. ISO 27001 ställer väldigt få absoluta krav, utan låter istället organisationen utforma sitt skydd utefter eget behov.
Vägen till en ISO 27001 certifiering
I början av ett ISO 27001 projekt kan det vara frestande att gå på och börja implementera åtgärder direkt. Ofta har det diskuterats behov av åtgärder av olika slag länge i en verksamhet men på spridda håll och av olika personer. Om ett sådant angreppssätt får dominera finns risken att det blir dålig nytta av åtgärder och att de mest kritiska riskerna förbises.
Standarden ställer tydliga krav på systematik och kriterier för analys av risker och åtgärder. Kriterierna kommer först, därefter ska risker identifieras och utvärderas systematiskt. När kriterierna sätts först blir det mindre tveksamheter och diskussion om vad som faktiskt måste åtgärdas när väl utvärderingen av risker sätter igång.
1. Uppstart
I uppstartsmötet gör vi en nulägesanalys och planerar projektet
2. Styrning/kontroll
Ramar för ledningssystemet definieras och dokumenteras
3. Genomförande
Vi tar fram och dokumenterar rutiner, regler och styrning för projektet
4. Implementering
Vi tar fram utbildningsmaterial och genomför workshops
5. Certifiering
Hör av dig!
Verkar det här intressant för ditt företag kan du antingen skicka ett meddelande med kontaktfunktionen till höger, eller helt enkelt lyfta på luren och ringa.
Tel: 076 – 031 78 00
Besöksadress: Östra Storgatan 67, Jönköping
