Ledningssystem
Rådgivning och stöd för hållbara och verksamhetsanpassade ledningssystem
Introduktion
När kunder, partners eller lagstiftning kräver mer än goda intentioner
För många organisationer börjar behovet av ett ledningssystem inte internt, utan utifrån.
En kund kräver att ni följer ISO/IEC 27001. En större partner vill se ett strukturerat arbete enligt NIST CSF. Eller så inser ni att kommande lagkrav inom informationssäkerhet och dataskydd kommer att ställa högre krav än ni klarar av i dag.
Oavsett drivkraft handlar det om samma sak, nämligen att visa att ni har kontroll.
På Secify hjälper vi organisationer att etablera ledningssystem som möter externa krav – utan att skapa onödig administration eller bromsa verksamheten. Vi gör kraven begripliga, prioriterar rätt åtgärder och hjälper er att bygga ett arbetssätt som håller över tid.
Varför ett ledningssystem
Ett ledningssystem som svar på krav – inte som ett internt sidoprojekt
Krav från kunder, upphandlare och samarbetspartners blir allt vanligare. Ofta handlar det inte om att ni måste vara certifierade här och nu – utan om att kunna visa att ni arbetar strukturerat, riskbaserat och med tydlig styrning.
Utan ett ledningssystem blir det svårt att:
- svara trovärdigt på säkerhets- och compliancefrågor
- visa att ansvar, roller och processer faktiskt finns på plats
- skala arbetet när verksamheten växer eller förändras
- anpassa er snabbt när nya lagkrav träder i kraft
Ett väl utformat ledningssystem ger er ett ramverk för att hantera dessa krav på ett samlat sätt – i stället för att lösa varje förfrågan, revision eller ny lag som ett separat projekt.
Vi utgår alltid från er verklighet: vilka krav möter ni i dag, vilka är på väg och vad är rimligt att bygga nu – och senare.
Några av våra kunder
Våra områden inom ledningssystem
Vårt arbete med ledningssystem utgår från etablerade ramverk och strukturer som används för att möta externa krav och skapa ett långsiktigt och hållbart arbete med säkerhet och efterlevnad. Nedan kan du läsa mer om de ledningssystem och ramverk som vi arbetar med.
Frågor och svar
Här finns svar på de vanligaste frågorna om ISO27001. Har du en fråga som inte finns med? Använd kontaktformuläret lite längre ner på sidan.
Ja, det finns fler ledningssystem för informationssäkerhet, bland annat NIST CSF och ISF.
Efter att man blivit certifierad genomgår man årliga revisioner för att säkerställa att organisationen fortsätter att uppfylla kraven i ISO 27001. Vart tredje år görs en omcertifiering som är en lite större revision.
Syftet med ISO 27001 är att genom ledningsystemets arbete öka säkerheten i organisationen.
Nej, alla behöver i dagsläget inte ha en ISO 27001 certifiering. Men det finns en stark indikation på att vissa organisationer som omfattas av NIS2 kommer att ha arbete med ledningssystem som krav.
För att bli certifierad krävs att man arbetar med informationssäkerhet på ett systematiskt sätt samt uppfyller de krav som ISO 27001 ställer. Själva ordet certifiering betyder godkänd revision. För att kunna bli certifierad krävs då att man först genomgår en certifieringsrevision.
Behovet av ett ledningssystem för informationssäkerhet (LIS) kommer ofta i form av ett krav ifrån en leverantör, underleverantör, samarbetspartner, myndighet eller förordning.
ISO 27001 ger organisationen ett standardiserat sätt att arbeta med säkerheten. Med andra ord så börjar organisationen att arbeta ur ett best-practice sätt som är framtaget av IT- och informationssäkerhetsexperter på hur man bäst, i sin organisation arbetar med säkerhet.
Det går absolut att arbeta mot en certifiering utan att nödvändigtvis certifieras. Det man vinner av ett sådant arbete är en ökad säkerhet som genomsyrar organisationens alla skikt.
Det går att genomföra ett ISO-arbete utan extern hjälp. Tyvärr tar den vägen ofta väldigt mycket längre tid än att anlita en konsult. En god idé är att köpa standarden och därefter läsa igenom och bygga ett eget ramverk som du implementerar i din organisation genom olika insatser som exempelvis processer och rutiner, utbildningar och säkerhetshöjande åtgärder.
Efter att ledningssystemet har införts och organisationen klarat av en internrevision ska ett oberoende certifieringsorgan granska och bedöma organisationen / ledningssystemet för att säkerställa att kraven är uppfyllda. Om revisionen godkänns av det oberoende organet så beviljas certifieringen.
Hur lång tid det tar att certifieras beror framförallt på hur säkerhetsmogna ni är som organisation, det vill säga om ni har arbetat med informationssäkerhet innan och har vissa processer redan klara. Andra delar som påverkar är hur stora ni är som bolag, vilken prioritet som certifieringen har samt vilket scoop vi väljer att certifieras. I regel tar det uppskattningsvis mellan 6-12 månader, men vi har haft projekt som har tagit längre tid.
Hela organisationen blir mer motståndskraftig mot cyberangrepp. Medvetenheten, tekniska och organisatoriska åtgärder för att öka säkerheten sätts i fokus och genomsyrar hela organisationen. Utöver det så uppfyller en certifierad organisation många av de krav som samarbetspartners kan ställa inför ett samarbete.
ISO 27001 är ett ledningssystem för informationssäkerhet. Genom att använda det i sin organisation får man ett standardiserat arbetssätt utifrån alla aspekter av säkerhet.
