Ledningssystem för Informationssäkerhet: ISO 27001

Information är den viktigaste strategiska resurs som en organisation har till sitt förfogande. Det är därför ytterst betydelsefullt att alla system som används för att lagra denna information är skyddade mot förlust, stöld och skador. Ett sätt att åstadkomma ett sådant skydd är att använda ett ledningssystem för informationssäkerhet.

ISO/IEC 27001:2005, Informationsteknik – Säkerhetstekniker – Ledningssystem för informationssäkerhet – Krav, (svensk översättning SS-ISO/IEC 27001:2006) är en internationell standard för informationssäkerhet som passar alla organisationer, oavsett bransch, storlek och verksamhet. SS-ISO/IEC 27001 har samma struktur som SS-EN ISO 9001, Ledningssystem för kvalitet och SS-EN ISO14001 Miljöledningssystem och kan med fördel integreras med dessa.

I ISO 27001 specificeras generella krav som ska uppfyllas för att policy, mål, processer och rutiner ska vara effektiva för att hantera risker och förbättra informationssäkerheten. Det finns också krav på övervakning och granskning samt underhåll och optimering av informationssäkerheten.

Vidare ska organisationen införa och ta i drift de specifika säkerhetsåtgärder den behöver. Kraven på säkerhetsåtgärder anpassas till vilken information som organisationen hanterar, vilka behov av skydd som finns och vilka hot och risker som organisationen är utsatt för. ISO 27001 har en bilaga A som är utformad som en checklista. Baserat på riskbedömning väljer organisationen vilka punkter i checklistan som är tillämpliga, ev. med egna tillägg.

Checklistans olika punkter överensstämmer med motsvarande kapitel och underrubriker i SS-ISO/IEC 27002 :2005, Informationsteknik – Säkerhetstekniker – Riktlinjer för styrning av informationssäkerhet som kan användas som stöd vid val och införande av säkerhetsåtgärder.. För varje område beskriver ISO 27002 ett mål för styrning och vilka åtgärder som kan tillämpas för att uppnå detta mål.

I ISO/IEC 27001:2005 beskrivs metoden i dessa huvudgrupper enligt PDCA-modellen (Plan-Do-Check-Act):

  1. Hantering av-, och principer för säkerhet: De centrala komponenterna riskhantering, rutiner för informationssäkerhet, procedurer, standarder, riktlinjer, grundkonfigurationer, klassificering, utbildning och säkerhetsorganisation fungerar som en grundval för informationssäkerhet. Säkerhetskontroller införs och upprätthålls för att säkerställa de tre oberoende principerna som ingår i alla program: konfidentialitet, integritet och tillgänglighet.
  2. Ansvarsområden för säkerhetsledning: Här ingår resurser, ekonomiska medel och strategisk representation som krävs för att medverka i ett säkerhetsprogram. Med hjälp av de fördelade ansvarsområdena kan ledningssystemet för informationssäkerhet komma igång och växa och utvecklas när miljön förändras. Stöd från ledningens sida är en av de viktigaste faktorerna för att ett säkerhetsprogram ska få ett lyckat resultat.
  3. Vertikalt perspektiv: Det vertikala perspektivet innebär att den högsta ledningen ger stöd och vägledning, som sedan förs vidare till mellanchefer och övrig personal.
  4. Riskhantering: Riskhantering är processen att identifiera, analysera, bedöma och utvärdera risker samt minimera dem till en acceptabel nivå och att införa lämpliga försvarsmekanismer för att hålla riskerna på en godtagbar nivå.
  5. Säkerhetsmedvetande: För att säkerhetsprogrammet ska ge önskade resultat måste medarbetarna få svar på säkerhetens ”vad, hur och varför”. Denna medvetenhet måste vara grundlig, skräddarsydd och omfatta hela organisationen.
  6. Verksamhetskontinuitet och katastrofberedskap: Säkerställer kontinuitet, återställning och rekonstruktion av verksamheten vid katastroflägen. I en nödsituation kan det innebära att de viktigaste systemen flyttas till en annan miljö medan de ursprungliga lokalerna repareras.
  7. Åtlydnad av lagar: Omfattar åtlydnad av olika civilrättsliga lagar, brottsbalk och administrativa lagar (förordningar), bland annat lagar kring immaterialrätt, affärshemligheter, upphovsrätt, varumärken, patent och dataskydd.

Certifiering enligt ISO/IEC 27001:2005

Intertek är ackrediterat av SWEDAC för att erbjuda certifieringstjänster för ISO/IEC 27001:2005 (tidigare SS 627799). En organisation som önskar en formell certifiering enligt detta system måste bedömas av ett fristående certifieringsorgan, t.ex. Intertek. Med vår kompetens, sakkunskap, erfarenhet och branschkännedom kan vi hjälpa er att få er certifiering på ett problemfritt och kostnadseffektivt sätt.