Information är den viktigaste strategiska resurs som en organisation har till sitt förfogande. Det är därför ytterst betydelsefullt att alla system som används för att lagra denna information är skyddade mot förlust, stöld och skador. Ett sätt att åstadkomma ett sådant skydd är att använda ett ledningssystem för informationssäkerhet.

ISO/IEC 27001:2005 (tidigare SS 627799) är en internationell standard som innehåller specifikationer och riktlinjer för inrättande och underhåll av ett ledningssystem för informationssäkerhet. Den erbjuder ett processinriktat angreppsätt enligt PDCA-modellen (Plan-Do-Check-Act), som i sin tur bygger på principerna i OECD:s (Organization for Economic Cooperation and Development) riktlinjer kring säkerhet för informationssystem och nätverk.

ISO/IEC 27001:2005 består av två delar under den övergripande rubriken Informationsteknik – Säkerhetsteknik – Ledningssystem för informationssäkerhet.

• ISO/IEC 17799:2005 (del 1) är en ”praxissamling” som beskriver "best practice" för ett ledningssystem för informationssäkerhet inom ramen för ISO/IEC 27001 del 2.
  ISO/IEC 27001:2005 (del 2) innehåller ett antal specifikationer för ledningssystem för informationssäkerhet. Här finns metoder för mätning, övervakning och styrning av säkerhetsledning ur ett vertikalt perspektiv. Bland de ämnen som behandlas finns styrning, resurskontroll, riskbedömning, klassificering, efterlevnad, kontinuitetsplanering med mera.

I ISO/IEC 27001:2005 beskrivs metoden i dessa huvudgrupper enligt PDCA-modellen (Plan-Do-Check-Act):

1. Hantering av-, och principer för säkerhet: De centrala komponenterna riskhantering, rutiner för informationssäkerhet, procedurer, standarder, riktlinjer, grundkonfigurationer, klassificering, utbildning och säkerhetsorganisation fungerar som en grundval för informationssäkerhet. Säkerhetskontroller införs och upprätthålls för att säkerställa de tre oberoende principerna som ingår i alla program: konfidentialitet, integritet och tillgänglighet.

2. Ansvarsområden för säkerhetsledning: Här ingår resurser, ekonomiska medel och strategisk representation som krävs för att medverka i ett säkerhetsprogram. Med hjälp av de fördelade ansvarsområdena kan ledningssystemet för informationssäkerhet komma igång och växa och utvecklas när miljön förändras. Stöd från ledningens sida är en av de viktigaste faktorerna för att ett säkerhetsprogram ska få ett lyckat resultat.

3. Vertikalt perspektiv: Det vertikala perspektivet innebär att den högsta ledningen ger stöd och vägledning, som sedan förs vidare till mellanchefer och övrig personal.

4. Riskhantering: Riskhantering är processen att identifiera, analysera, bedöma och utvärdera risker samt minimera dem till en acceptabel nivå och att införa lämpliga försvarsmekanismer för att hålla riskerna på en godtagbar nivå.

5. Säkerhetsmedvetande: För att säkerhetsprogrammet ska ge önskade resultat måste medarbetarna få svar på säkerhetens ”vad, hur och varför”. Denna medvetenhet måste vara grundlig, skräddarsydd och omfatta hela organisationen.

6. Verksamhetskontinuitet och katastrofberedskap: Säkerställer kontinuitet, återställning och rekonstruktion av verksamheten vid katastroflägen. I en nödsituation kan det innebära att de viktigaste systemen flyttas till en annan miljö medan de ursprungliga lokalerna repareras.

7. Åtlydnad av lagar: Omfattar åtlydnad av olika civilrättsliga lagar, brottsbalk och administrativa lagar (förordningar), bland annat lagar kring immaterialrätt, affärshemligheter, upphovsrätt, varumärken, patent och dataskydd.

Certifiering enligt ISO/IEC 27001:2005

Intertek är ackrediterat av SWEDAC för att erbjuda certifieringstjänster för ISO/IEC 27001:2005 (tidigare SS 627799). En organisation som önskar en formell certifiering enligt detta system måste bedömas av ett fristående certifieringsorgan, t.ex. Intertek. Med vår kompetens, sakkunskap, erfarenhet och branschkännedom kan vi hjälpa er att få er certifiering på ett problemfritt och kostnadseffektivt sätt.