En roadmap mot ISO 27001-certifiering
En vanlig fråga vi får från företag är hur de ska gå tillväga för att bli certifierade enligt standarden ISO 27001 – Ledningssystem för Informationssäkerhet (även kallat ISMS, Information Security Management System). Att bli certifierade kan vara ett omfattande arbete beroende på vilka förutsättningar företaget ifråga har. Företag som saknar ett strukturerat arbetssätt för att arbeta med informationssäkerhet har ofta en rejäl uppförsbacke innan de kan komma igång med det faktiska ISO 27001-projektet.
Nedan följer 9 steg för att uppnå en ISO 27001-certifiering.
1. Få med ledningen på tåget
Om det finns en förståelse på ledningsnivå så underlättar det hela projektets fortgång. En skillnad mot tidigare versioner av ISO 27001, är att det är mer fokus på ledarskap. Tidigare kunde ”ledning” tolkas som ledningen för IT och informationssäkerhet, medan det nu framgår tydligare att även verksamheten i form av affärsverksamhetens ledning måste vara aktiv och ansvarstagande för att ett ISMS ska ha rätt scope.
2. Definiera en Information Security (IS) policy och en omfattning för införandet av ett ISMS
Informationssäkerhetspolicyn ska spegla organisationens mål för säkerhet och ledningens strategi för att informationssäkerhetsarbetet. Informationssäkerhetspolicyn kan till exempel svara på:
- Policyns syfte och mål?
- Avgränsningar: Vilken/vilka verksamheter omfattas av policyn. Finns exempelsvis nationella avgränsningar?
- Vilken säkerhetsnivå ska organisationen uppnå?
- Hur hanteras incidenter, avbrott och kriser i organisationen?
- Hur är säkerhetsarbetet organiserat? Vem är ansvarig för vad?
- Vilka rättigheter och skyldigheter har medarbetarna i företaget?
- Införandet kan avgränsas för införande etappvis och det ska framgå vilka delar som är prioriterade.
3. Gör en översyn av befintligt ISMS vs ISO 27001
För att fastställa aktuell status på befintliga rutiner eller ISMS rekommenderar vi att man genomför en workshop där man genom en GAP-analys stämmer av mot ISO 27001:2013 Annex A-kontroller. Utifrån GAP-analysen kan man sen välja vilka aktiviteter man ska prioritera att gå vidare med.
4. Utför en Information Security Risk Assessment
För att veta vilka system som är kritiska för att verksamheten ska fortgå om det inträffar en incident, bör man ha gjort en riskanalys. Man kan titta på vad det får för konsekvenser när information ur systemen läckt (Konfidentialitet), om det blir fel på data genom exempelvis felkörningar eller att man har en insider som för egen vinning ändrar på data (Integritet). Och sen bedömer man vad det får för konsekvenser för verksamheten om systemen är otillgängliga under vissa tidsperioder.
5. Utför en Information Security Risk Threat/Vulnerability Assessment
Man bör sen titta på vad för hot man bedömer kan inträffa exempelvis hackerattacker, naturkatastrofer, brand etc. Sen tittar man på vilka skydd/sårbarheter man har, för att se vad vilka åtgärder man vill vidta för att åtgärda/ta bort/försäkra bort eventuella risker.
6. Implementera planen för att bli ISO 27001-certifierad
Med information om brister från GAP-analysen och vilka prioriterade åtgärder från riskanalysen så genomförs aktiviter i projektform för att uppnå ISO-certifiering om det är det som är målet.
7. Utbilda personal och tillsätt nödvändiga resurser
För att den nya planen ska få ordentlig förankring i organisationen måste personal utbildas och sen kontinuerligt informeras om förändringar i ISMS. Ansvariga för ett flertal funktioner måste vara namngivna och ha tid och anvisningar för hur deras arbete med granskningar ska bedrivas etc.
8. Utför granskningar och utvärderingar av ert ISMS
Inom ramen för ISMS arbete i organisationen genomförs revisioner och utvärderingar av efterlevnad av ISMS. GAP-analys kan göras om för att se i vilka områden det skett förändringar mot kraven i ISO 27001.
9. Starta processen för att bli certifierade
En ISO 27001-certitifiering visar att ert ISMS granskats mot, och visat sig vara i enlighet med en av de bästa informationssäkerhetsstandarder som finns. Certifieringen utförs av en tredje part (certification body/registrar) och där framgår det att ni har tagit de nödvändiga stegen för att skydda er känsliga information mot oauktoriserad access och förändringar.
Tala med en expert på informationssäkerhet
Kraven för att nå ISO 27000-certifiering kan från början se ut som en övermäktig uppgift att komma i mål med. Därför kan det vara bra att prata med någon som har lång erfarenhet av den här typen av projekt för att få en så kort och kostnadseffektiv process som det bara är möjligt.
Sentor har flera informationssäkerhetskonsulter som stöttar företag att nå compliance i enlighet med ISO 27000-standarden.
Så når du ISO 27001 compliance