Compliance • Artikel

9 vanliga steg till en ISO 27001-certifiering

En vanlig fråga vi får från företag är hur de ska gå tillväga för att bli certifierade enligt standarden ISO 27001 – Ledningssystem för Informationssäkerhet (även kallat ISMS, Information Security Management System). Att bli certifierade kan vara ett omfattande arbete beroende på vilka förutsättningar företaget ifråga har. Företag som saknar ett strukturerat arbetssätt för att arbeta med informationssäkerhet har ofta en rejäl uppförsbacke innan de kan komma igång med det faktiska ISO 27001-projektet. Nedan följer 9 steg för att uppnå en ISO 27001-certifiering.

Steg mot en ISO 27001-certifiering

1. Få med ledningen på tåget

Om det finns en förståelse och förankring på ledningsnivå kommer det underlätta det hela projektets fortgång. En skillnad mot tidigare versioner av ISO 27001, är att den aktuella versionen har ett större fokus på ledarskap. Tidigare kunde ”ledning” tolkas som ledningen för IT- och informationssäkerhet, medan det nu framgår tydligare att även verksamheten, i form av affärsverksamhetens ledning, måste vara aktiv och ansvarstagande för att efterleva standarden.

2. Definiera en Information Security (IS)-policy och en omfattning för införandet av ett ISMS

Informationssäkerhetspolicyn ska spegla organisationens mål för säkerhet, samt ledningens strategi för informationssäkerhetsarbetet. Informationssäkerhetspolicyn kan till exempel svara på:

  • Policyns syfte och mål?
  • Avgränsningar: Vilken/vilka verksamheter omfattas av policyn? Finns det till exempel nationella avgränsningar att ta hänsyn till?
  • Vilken säkerhetsnivå ska organisationen uppnå?
  • Hur hanteras incidenter, avbrott och kriser i organisationen?
  • Hur är säkerhetsarbetet organiserat? Vem är ansvarig för vad?
  • Vilka rättigheter och skyldigheter har medarbetarna i företaget?

3. Gör en översyn av befintligt ISMS vs ISO 27001

För att fastställa aktuell status på befintliga rutiner eller ISMS rekommenderar vi att du genomför en workshop där ni genom en GAP-analys stämmer av mot ISO 27001:2013 Annex A-kontroller. Utifrån GAP-analysen kan ni sedan välja vilka aktiviteter som ska prioriteras att gå vidare med.

4. Utför en Information Security Risk Assessment

För att veta vilka system som är kritiska för att verksamheten inte ska påverkas om det inträffar en incident, bör en riskanalys genomföras. Man kan till exempel titta på vad det får för konsekvenser när information ur systemen läcker (konfidentialitet), om det blir fel på data genom exempelvis felkörningar eller att drabbas av insiders som för egen vinning ändrar på data (integritet). Efter det bedöms vilka konsekvenser verksamheten kan få om systemen är otillgängliga under vissa tidsperioder.

5. Utför en Information Security Risk Threat/Vulnerability Assessment

En annan viktig sak att undersöka är vilka potentiella hot verksamheten står inför, såsom hackerattacker, naturkatastrofer, brand etc. När hoten är identifierade bör adekvata åtgärder tillämpas för att kontrollera/minska riskerna.

6. Implementera en plan för att bli ISO 27001-certifierad

Med information om brister från GAP-analysen tillsammans med prioriterade åtgärder från riskanalysen, kan sedan en plan över aktiviteter för att nå certifiering (förutsatt att det är målet) börja ta form.

7. Utbilda personal och tillsätt nödvändiga resurser

För att den nya planen ska få ordentlig förankring i organisationen måste personal utbildas och sedan kontinuerligt informeras om potentiella förändringar i ISMS. Ansvariga för ett flertal funktioner måste vara namngivna med tillhörande tidsangivelser och anvisningar för hur deras arbete med granskningar ska bedrivas.

8. Utför granskningar och utvärderingar av ert ISMS

Inom ramen för ISMS arbete i organisationen ingår revisioner och utvärderingar. En GAP-analys kan göras om för att identifiera vilka områden som har förändrats mot kraven i ISO 27001.

9. Starta processen för att bli certifierade

En ISO 27001-certitifiering visar att ert ISMS har granskats mot, och visat sig vara i enlighet med de högt ställda kraven. Certifieringen utförs av en tredje part (certification body/registrar), och säkerställer det att ni har tagit de nödvändiga stegen för att skydda er känsliga information mot oauktoriserad access och förändringar.

Tala med en expert på informationssäkerhet

Kraven för att nå ISO 27000-certifiering kan från början se ut som en övermäktig uppgift. Därför kan det vara bra att prata med någon som har lång erfarenhet av den här typen av projekt för att få en så kort och kostnadseffektiv process som det bara är möjligt. Vi på Sentor har flera informationssäkerhetskonsulter som stöttar företag i resan mot att nå compliance i enlighet med ISO 27000-standarden, och hjälper årligen flertalet bolag till certifiering.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

Ta kontroll över din säkerhet

Boka kostnadsfri rådgivning

I samråd med dig pratar vi om din organisations säkerhetsutmaningar och diskuterar hur vi på Sentor kan hjälpa dig att uppnå dina mål. Om du hellre vill bli kontaktad, ange dina uppgifter i kontaktformuläret.