ISO 27001

ISO står för ”International Organization for Standardization” och är en organisation som tar fram standarder för allt möjligt. ISO tar fram standarder för allt möjligt, allt från måttet på olika containrar, hur byggritningar tas fram till informationssäkerhet. För att få en ISO-certifiering måste man uppfylla de krav som finns för en specifik standard. För att erhålla en certifiering måste en godkänd och särskilt utsedd revisor genomföra en revision på området. Revisioner återkommer kontinuerligt varje år, både av interna och externa revisorer. Vart tredje år kommer även certifieringen att omprövas och granskas genom en större revision.

Att skydda ovärderliga tillgångar som personuppgifter eller information om kunder är fundamentalt i dagens informationssamhälle. Att skydda tillgångar som lagrar, överför eller bearbetar information i ett nätverk är betydligt svårare. Det är här som ISO 27001 fyller en viktig funktion.

ISO 27001

ISO 27001 – Vad är det?

ISO 27000-familjen, eller serien som den också kallas, handlar om informationssäkerhet. 27001 är mittpunkten i certifieringen då detta är det så kallade ledningssystemet för hela informationssäkerheten.

Nedan listar vi fundamentala delar inom detta ledningssystem:

  • Riskanalys och riskbehandling av tillgångar som lagrar, över för eller bearbetar information i ett nätverk
  • Klassificering och ägarskap av de tillgångar som finns i systemet
  • Dokumentation och policyer som präglar informationen och flödet
  • Mätning av resultat
  • Uppföljning

Implementering

Ett av de vanligaste angreppssätten inom ISO 27001 är att redan från början fokusera på tekniska lösningar. Tack vare användbara tekniska lösningar kan man hantera vissa risker tidigt i processen. Viktigt att komma ihåg är att i andra sammanhang kan det bli lite krångligare. Alltför höga krav på krypterade lösenord, tvåfaktorsautentisering, kryptering av dokument eller begränsningar till vissa lokaler kan vara tidskrävande och skapa frustration. Exempelvis kan mycket tid läggas på detta istället för kärnverksamheten vilket gör att människor känner sig misstrodda och eventuellt tappar engagemang.

Att utbilda personal kan vara minst lika smart och låta bli hantering av alltför känsliga uppgifter. En annan potentiell lösning är att lägga över ansvar på leverantörer eller kunder genom tydligt avtal. En del risker kan accepteras utan att för den sakens skull riskera kunder och affärer. Med andra ord är det en alldeles för stor kostnad i förhållande till vinst för en specifik åtgärd. ISO 27001 ställer väldigt få definitiva krav, utan låter därför organisationen utforma sitt skydd utefter sina egna behov.

Bli ISO 27001 certifierade

När ett ISO 27001 projekt påbörjas kan det vara frestande direkt börja implementera åtgärder. Det diskuteras ofta vilka behov av åtgärder av olika slag en verksamhet ska ha. Men på spridda håll och av olika personer vilket kan ställa till det något. Hanterar man det på detta vis finns risken alltid att det blir dålig nytta av åtgärder och de allra viktigaste samt kritiska riskerna förbises.

ISO 27001 ställer höga och tydliga krav på systematik och kriterier för analys av risker och åtgärder. Kriterierna kommer i förstahand, därefter ska riskerna identifieras och utvärderas noggrant och systematiskt. När kriterierna implementeras först blir det mindre tveksamheter. Diskussionen blir mer transparent om vad som måste åtgärdas när väl av utvärderingen sätter igång.

Fördelar med certifieringen

I takt med att världen blir alltmer digitaliserad finns det många fördelar med att bli ISO 27001 certifierad. Att ha ett ledningssystem för informationssäkerhet ger väldigt många fördelar som skyddar och förebygger cyberhot. Förutom att säkerhetsnivån höjs markant, så bidrar ISO 27001 till ett mer systematiskt risktänkt och även ordning och reda.

När det kommer till affärer är det till stor fördel att ha en ISO 27001 certifiering. Anledningen är att idag frågar allt fler kunder efter säkerhetsaspekten vid förhandlingar inom affärer. Kan ni visa upp en ISO 27001 certifiering ger mer kredibilitet och snabbar upp förhandlingarna. Beviset på ISO 27001 certifieringen är en kvalitetsstämpel i sig som bevisar att företaget ligger i framkant.