System för informationssäkerhet med hjälp av ISO 27001

Ämnet ”informationssäkerhet” blir allt viktigare för företag som befinner sig mitt i den digitala omvandlingen. Utan adekvata säkerhetsåtgärder finns det risk för dataförlust och stöld av hackare, driftstörningar på grund av webbaserade attacker eller missbruk av data. Ett alternativ till ett strukturerat tillvägagångssätt är ett ledningssystem för informationssäkerhet (ISMS) enligt ISO 27001.

Vad är ISO 27001?

ISO/IEC 27001 är den ledande internationella standarden för implementering av ett holistiskt ledningssystem för informationssäkerhet. Den fokuserar på identifiering, bedömning och hantering av risker för informationshanteringsprocesser. Säkerheten för konfidentiell information betonas som en viktig strategisk faktor. Information omger oss överallt och är en del av varje process. Ibland kan den vara trivial, men alltför ofta är den kritisk och konfidentiell. För att kunna göra denna viktiga distinktion för din organisation är det nödvändigt att klassificera informationen. Det beror på att skyddsåtgärderna i ett ledningssystem för informationssäkerhet (ISMS) enligt ISO/IEC 27001 baseras på denna klassificering. Ett ISMS skapar ett ramverk för att skydda affärsdata och dess konfidentialitet. Samtidigt säkerställer den globalt erkända standarden tillgängligheten hos de IT-system som är involverade i företagets processer. I detta sammanhang sänder ISO 27001-certifiering en stark signal till marknaden: nämligen en oberoende extern utvärdering och bekräftelse av effektiviteten i ditt ISMS. Med EN ISO/IEC 27001:2017-06 har en version som samordnas av Europeiska standardiseringskommittén (CEN) publicerats. Den kombinerar de två rättelserna (corrigenda) Cor 1:2014 och Cor 2:2015. Ändringarna i samband med korrigeringen innebär endast en förbättrad beskrivning av de relaterade kraven, men inga nya tilläggskrav. Certifikat enligt ISO/IEC 27001:2013-versionen behåller därmed sin giltighet.

Vem är ISO 27001-certifiering lämplig för?

ISMS-standarden ISO 27001 gäller över hela världen. Den ger företag av alla storlekar och branscher ett ramverk för att planera, genomföra och övervaka sin informationssäkerhet. Kraven är tillämpliga på och bindande för privata och offentliga företag samt ideella organisationer. I Tyskland måste till exempel företag som tillhör en sektor med kritisk infrastruktur (KRITIS) och som överskrider ett tröskelvärde visa hur de säkerställer sin informationssäkerhet. KRITIS-sektorerna omfattar energi, vatten, hälsa, finans och försäkring, livsmedel, transport och trafik, informationsteknik och telekommunikation. Motsvarande bevis på implementering kan tillhandahållas genom säkerhetsrevisioner, tester eller certifieringar. För detta ändamål kan antingen erkända standarder som ISO 27001 eller alternativt branschspecifika säkerhetsstandarder som erkänns av det tyska federala kontoret för informationssäkerhet (BSI) användas som grund för revisionen.

Vad gör ISO 27001-standarden användbar för mitt företag?

Att implementera ett ISMS enligt ISO/IEC 27001 är ett strategiskt beslut för ditt företag. Överensstämmelse med de avsiktliga allmänna kraven i standarden måste återspegla företagets specifika situation. Implementeringen i företaget beror på behov och mål, säkerhetskrav och organisatoriska processer samt företagets storlek och struktur. Särskilt värdefullt för praktiken är genomförandet av åtgärderna i bilaga A till standarden. Förutom den ledningssystemorienterade kravdelen (kapitel 4-10) innehåller ISO-standarden en omfattande lista med 35 kontrollmål med 114 konkreta åtgärder för olika säkerhetsaspekter i 14 kapitel i bilaga A. Åtgärderna måste genomföras inom ramen för ledningssystemet. Dessa åtgärder måste genomföras som en del av ledningssystemet, i den mån de är relevanta för ditt företag. En konsekvent anpassning av företagets processer till ISO 27001 har visat sig leda till flera fördelar:

• Kontinuerlig förbättring av säkerhetsnivån.
• Minskning av befintliga risker.
• Uppfyllande av krav på efterlevnad.
• Ökad medvetenhet bland medarbetarna.
• Ökad kundnöjdhet

Interna revisioner och ledningens genomgångar med högsta ledningen är de interna hävstängerna för att uppnå detta. Andra positiva aspekter är att intressenter, t.ex. tillsynsmyndigheter, försäkringsbolag, banker och partnerföretag, får ett ökat förtroende för ditt företag. Detta beror på att ett certifierat ledningssystem signalerar att din organisation hanterar risker på ett strukturerat sätt och arbetar med ständiga förbättringar (CIP), vilket gör den mer motståndskraftig mot oönskade effekter. Den internationella standarden ISO/IEC 27001 kan också implementeras, drivas och certifieras oberoende av andra ledningssystem, t.ex. ISO 9001 (kvalitetsledning) eller ISO 14001 (miljöledning).