9 vanliga steg till en ISO 27001-certifiering

Det finns många skäl till att som företag vilja nå en ISO 27001-certifiering; utöver att standarden medför processer som skyddar din kritiska information ett bättre sätt kan den även skapa konkurrensfördelar och underlätta verksamhetens övriga efterlevnadsarbete. Resan mot en certifiering kan dock kännas lång och kantad av motgångar. Här är 9 steg som hjälper dig på vägen.

En vanlig fråga vi får från företag är hur de ska gå tillväga för att bli certifierade enligt standarden ISO 27001, som är ett ledningssystem för Informationssäkerhet (även kallat ISMS, Information Security Management System). Att bli certifierad kan innebära ett omfattande arbete beroende på vilka förutsättningar företaget ifråga har. Verksamheter som saknar ett strukturerat arbetssätt för att arbeta med informationssäkerhet har ofta en rejäl uppförsbacke innan de över huvud taget kan komma igång med det faktiska ISO 27001-projektet. Nedan följer 9 som lägger grunden för resan mot att uppnå en ISO 27001-certifiering.

9 steg mot en ISO 27001-certifiering

1. Få med ledningen på tåget

Om det finns en förståelse och förankring på ledningsnivå kommer det underlätta det hela projektets fortgång. En skillnad mot tidigare versioner av ISO 27001, är att den aktuella versionen har ett större fokus på ledarskap. Tidigare kunde ”ledning” tolkas som ledningen för IT- och informationssäkerhet, medan det nu framgår tydligare att även verksamheten, i form av affärsverksamhetens ledning, måste vara aktiv och ansvarstagande för att efterleva standarden.

2. Definiera en Information Security (IS)-policy och en omfattning för införandet av ett ISMS

Informationssäkerhetspolicyn ska spegla organisationens mål för säkerhet, samt ledningens strategi för informationssäkerhetsarbetet. Den kan till exempel svara på:

• Policyns syfte och mål?
• Avgränsningar: vilken/vilka verksamheter omfattas av policyn? Finns det till exempel nationella avgränsningar att ta hänsyn till?
• Vilken säkerhetsnivå ska organisationen uppnå?
• Hur hanteras incidenter, avbrott och kriser i organisationen?
• Hur är säkerhetsarbetet organiserat? Vem är ansvarig för vad?
• Vilka rättigheter och skyldigheter har medarbetarna i företaget?

3. Gör en översyn av befintligt ISMS vs ISO 27001

För att fastställa aktuell status på befintliga rutiner eller ISMS rekommenderar vi att du genomför en workshop där ni genom en GAP-analys stämmer av mot ISO 27001:2013 Annex A-kontroller. Utifrån GAP-analysen kan ni sedan välja vilka aktiviteter som ska prioriteras att gå vidare med.

4. Utför en Information Security Risk Assessment

För att veta vilka system som är kritiska för att verksamheten inte ska påverkas om en incident inträffar, bör en riskanalys genomföras. Genom en riskanalys kan man till exempel undersöka konsekvenserna för när information ur systemen läcker (konfidentialitet), om det blir fel på data genom exempelvis felkörningar eller om verksamheten drabbas av insiders som för egen vinning ändrar på eller raderar data (integritet). Utöver det görs även en bedömning gällande vilka konsekvenser verksamheten kan få om systemen är otillgängliga under vissa tidsperioder.

5. Utför en Information Security Risk Threat/Vulnerability Assessment

En annan viktig sak i resan mot att bli ISO 27001-certifierad att undersöka är vilka potentiella hot verksamheten står inför, såsom hackerattacker, insiderhot, brand etc. När hoten är identifierade bör adekvata åtgärder tillämpas för att kontrollera/minska riskerna.

6. Implementera en plan för att bli ISO 27001-certifierad

Med information om brister från GAP-analysen tillsammans med prioriterade åtgärder från riskanalysen, kan sedan en plan över aktiviteter för att nå certifiering (förutsatt att det är målet) börja ta form.

7. Utbilda personal och tillsätt nödvändiga resurser

För att den nya planen ska få ordentlig förankring i organisationen måste personal utbildas och sedan kontinuerligt informeras om potentiella förändringar i ISMS. Ansvariga för ett flertal funktioner måste vara namngivna med tillhörande tidsangivelser och anvisningar för hur deras arbete med granskningar ska bedrivas.

8. Utför granskningar och utvärderingar av ert ISMS

Inom ramen för ISMS-arbete i organisationen ingår revisioner och utvärderingar. Genom ytterligare en GAP-analys kan du identifiera vilka områden som har förändrats mot kraven i ISO 27001.

9. Starta processen för att bli certifierade

En ISO 27001-certifiering visar att ert ISMS har granskats mot, och visat sig vara i enlighet med de högt ställda kraven. Certifieringen utförs av en tredje part (certification body/registrar), och säkerställer det att ni har tagit de nödvändiga stegen för att skydda er känsliga information mot oauktoriserad access och förändringar.

Fortfarande lite förvirrad? Tala med en expert!

Kraven för att nå ISO 27000-certifiering kan från början se ut som en övermäktig uppgift. Därför kan det vara bra att prata med någon som har lång erfarenhet av den här typen av projekt för att få en så kort och effektiv process som möjligt. Vi på Sentor har flera informationssäkerhetskonsulter som stöttar företag i resan mot att nå compliance i enlighet med ISO 27000-standarden, och hjälper årligen flertalet bolag till certifiering.