Secify.com
ISO 270012024-01-26T17:58:43+01:00

ISO 27001

Introduktion

ISO 27001, projektledning och stöd för införande av ledningssystem för informationssäkerhet

ISO 27001 är en del av en serie standarder som omfattar skydd av informationstillgångar av olika slag. Den kompletta serien består av ett femtiotal olika standarder som rymmer allt ifrån nätverkssäkerhet till incidenthantering, riskhantering och säkerhet i programvaror. Genom att arbeta utifrån ett ledningssystem så får hela din organisation ett standardiserat skydd för era informationstillgångar.

Kontakta oss

Vill du veta mer om vår tjänst och våra lösningar? Kontakta oss så hjälper vi dig.

Vårt stöd

Vi hjälper din organisation med ledningssystemet

Våra konsulter har arbetat väldigt länge med ISO 27001 och har djup kunskap inom ledningssystem. Vi har tillsammans väglett både stora och lite mindre företag mot en certifiering. Eftersom ISO 27001 också berör många av våra övriga tjänster, är det också något som vi är riktigt bra på.
Det här hjälper vi till med i en ISO 27001 certifiering:

  • Upplägg och projektledning
  • Utbildningar och stödinsatser
  • Ledning av arbetet
  • Stöd vid certifiering av ISO 27001

Grunderna

Att skydda sina ovärderliga tillgångar, som till exempel personuppgifter eller kundinformation är en självklarhet i dagens informationssamhälle. Men att skydda tillgångar som lagrar, överför eller bearbetar informationen i ett nätverk är svårare.

Det är här ISO 27001 kommer in. Med förståelse för vilka tillgångar som är värda att skydda, kan vi utforma ett skräddarsytt system av regler och rutiner för verksamheten som hjälper till att öka informationssäkerheten. Detta system ska dessutom vara baserat på en riskanalys, så att vi fokuserar insatserna på att hantera incidenter som är sannolika och kan få stora konsekvenser för verksamheten. Vissa saker styrs också av lagar, kund- eller leverantörers krav, vilket vi också måste ha i bakhuvudet när vi utformar styrningen.

Scope

Ett projekt inom ISO 27001 kan bli ett mycket omfattande arbete. Därför är det viktigt att tydligt definiera ett avgränsat område (scope) inom vilket vi vill öka informationssäkerheten.

Mindre verksamheter kan omfatta alla sina processer, men större företag gynnas av att välja ut specifika delar. Detta kan till exempel omfatta en datorhall, processen för ärendehantering eller IT-försörjning. Det gör det enklare att komma framåt samtidigt som kunskapen om informationssäkerhet och ISO 27001 ökar inom verksamheten. Ofta är också kraven på informationssäkerhet från kunder eller andra intressenter riktade mot en särskild del av verksamheten, och då lönar det sig att börja där.

Implementering

Ett vanligt angreppssätt inom ISO 27001 är att fokusera på tekniska lösningar redan från början. Tekniska lösningar är mycket användbara för att hantera vissa risker, men kan krångla till det i andra sammanhang.

Allt för höga krav på lösenord, tvåfaktorsautentisering, kryptering av dokument och begränsningar till vissa lokaler stjäl ofta viktig tid från kärnverksamheten och gör att människor känner sig misstrodda och tappar engagemang. Dessutom har vi sett att personal hittar egna osäkra genvägar för att kringgå en allt för åtstramad säkerhet.

Det kan vara minst lika smart att utbilda personal och låta bli hantering av allt för känsliga uppgifter, eller kanske lägga över ansvar på leverantörer eller kunder genom avtal. Vissa risker kan också accepteras utan att för den sakens skull äventyra kunder och affärer. ISO 27001 ställer väldigt få absoluta krav utan låter istället organisationen utforma sitt skydd utefter eget behov.

Några av våra kunder

Processen

Vägen till en ISO 27001 certifiering

Standarden ställer tydliga krav på systematik och kriterier för analys av risker och åtgärder. Kriterierna kommer först, därefter ska risker identifieras och utvärderas systematiskt. När kriterierna sätts först blir det mindre tveksamheter och diskussion om vad som faktiskt måste åtgärdas när väl utvärderingen av risker sätter igång. Det här är ett exempel på hur en plan för ISO 27001 kan se ut.

Uppstart av projektet för ISO 27001

Vi startar upp ISO projektet med att göra en ISO analys. Den ger oss en bättre bild över hur er organisation fungerar samt belyser vilka behov, förväntningar och mål som finns. Därefter kommer vi överens om vilken eller vilka delar av organisationen (scope) som ska inkluderas i ISO projektet.

Planering / analys

Vi sätter upp en plan för hur vi ska fortsätta arbetet med ledningssystemet samt fastställer processer för hur vi ska hitta, analysera och hantera säkerhetsrisker i organisationen.

Implementering

Alla planer och processer körs i gång. Det är nu det operativa säkerhetsarbetet börjar och själva ledningssystemet implementeras i organisationens dagliga arbete.

Förbättring

Vi undersöker vad som fungerade och inte fungerade i implementeringssteget. Därefter gör vi nödvändiga ändringar för att förbättra resultatet samt säkerställer att rutiner för framtida förbättringar fungerar.

Frågor och svar

Här finns svar på de vanligaste frågorna om ISO 27001. Har du en fråga som inte finns med? Använd kontaktformuläret lite längre ner på sidan.

Finns det andra ledningssystem för informationssäkerhet (LIS)?2022-09-22T09:56:19+02:00

Ja, det finns fler ledningssystem för informationssäkerhet, bland annat NIST CSF och ISF.

Vad händer efter man blivit certifierad inom ISO 27001?2022-09-22T09:56:19+02:00

Efter att man blivit certifierad genomgår man årliga revisioner för att säkerställa att organisationen fortsätter att uppfylla kraven i ISO 27001. Vart tredje år görs en omcertifiering som är en lite större revision.

Vad är syftet med ISO 27001?2022-09-22T09:56:20+02:00

Syftet med ISO 27001 är att genom ledningsystemets arbete öka säkerheten i organisationen.

Måste man ha ISO 27001?2022-09-22T09:56:20+02:00

Nej, alla behöver i dagsläget inte ha en ISO 27001 certifiering. Men det finns en stark indikation på att vissa organisationer som omfattas av NIS2 kommer att ha arbete med ledningssystem som krav.

Vad krävs för att bli ISO 27001 certifierad?2022-09-22T09:56:20+02:00

För att bli certifierad krävs att man arbetar med informationssäkerhet på ett systematiskt sätt samt uppfyller de krav som ISO 27001 ställer. Själva ordet certifiering betyder godkänd revision. För att kunna bli certifierad krävs då att man först genomgår en certifieringsrevision.

När behöver man ett ledningssystem?2022-09-22T09:56:20+02:00

Behovet av ett ledningssystem för informationssäkerhet (LIS) kommer ofta i form av ett krav ifrån en leverantör, underleverantör, samarbetspartner, myndighet eller förordning.

På vilket sätt ökar ISO 27001 min säkerhet?2022-09-22T09:56:21+02:00

ISO 27001 ger organisationen ett standardiserat sätt att arbeta med säkerheten. Med andra ord så börjar organisationen att arbeta ur ett best-practice sätt som är framtaget av IT- och informationssäkerhetsexperter på hur man bäst, i sin organisation arbetar med säkerhet.

Kan man arbeta med ISO 27001 utan att certfieras?2022-09-22T09:56:21+02:00

Det går absolut att arbeta mot en certifiering utan att nödvändigtvis certifieras. Det man vinner av ett sådant arbete är en ökad säkerhet som genomsyrar organisationens alla skikt.

Hur börjar man arbeta mot en ISO 27001 certifiering?2022-09-22T09:56:21+02:00

Det går att genomföra ett ISO-arbete utan extern hjälp. Tyvärr tar den vägen ofta väldigt mycket längre tid än att anlita en konsult. En god idé är att köpa standarden och därefter läsa igenom och bygga ett eget ramverk som du implementerar i din organisation genom olika insatser som exempelvis processer och rutiner, utbildningar och säkerhetshöjande åtgärder.

Hur går en certfiering till?2022-09-22T09:56:21+02:00

Efter att ledningssystemet har införts och organisationen klarat av en internrevision ska ett oberoende certifieringsorgan granska och bedöma organisationen / ledningssystemet för att säkerställa att kraven är uppfyllda. Om revisionen godkänns av det oberoende organet så beviljas certifieringen.

Hur lång tid tar det att certifieras?2022-09-22T09:56:21+02:00

Hur lång tid det tar att certifieras beror framförallt på hur säkerhetsmogna ni är som organisation, det vill säga om ni har arbetat med informationssäkerhet innan och har vissa processer redan klara. Andra delar som påverkar är hur stora ni är som bolag, vilken prioritet som certifieringen har samt vilket scoop vi väljer att certifieras. I regel tar det uppskattningsvis mellan 6-12 månader, men vi har haft projekt som har tagit längre tid.

Vad vinner man på att certifieras?2022-09-22T09:56:22+02:00

Hela organisationen blir mer motståndskraftig mot cyberangrepp. Medvetenheten, tekniska och organisatoriska åtgärder för att öka säkerheten sätts i fokus och genomsyrar hela organisationen. Utöver det så uppfyller en certifierad organisation många av de krav som samarbetspartners kan ställa inför ett samarbete.

Vad är ISO 27001?2022-09-22T09:56:22+02:00

ISO 27001 är ett ledningssystem för informationssäkerhet. Genom att använda det i sin organisation får man ett standardiserat arbetssätt utifrån alla aspekter av säkerhet.

Hör av dig!

Till toppen