fbpx
+46-8-6786700
info@changeoflane.com

Implementera ISO 27001 framgångsrikt

Implementera ISO 27001 framgångsrikt

Ledningssystem för informationssäkerhet

ISO/IEC 27001 är en standard inriktad på informationssäkerhet och kravställning av ISMS, Information Security Management System. Den senaste versionen publicerades 2013 och har följts av några mindre uppdateringar. Den härstammar från den brittiska standarden BS7799 från 1995.

Standarden består av ett antal säkerhetskontroller för informationssäkerhet och kravställningen på ledningssystem för dessa. Kontrollerna definierar allt från fysisk säkerhet såsom inpasseringssystem och pappershantering till skydd mot dataintrång eller dataförlust och dess hotbild, sårbarhet och påverkan.

Hur långt har ni kommit?

Hur mogen är er verksamhet för en säkerhetscertifiering?

Utvärdera affärsnytta och operationell påverkan

Medan GDPR är ett lagkrav med väldigt tydliga incitament för företag att uppfylla så är ISO 27001 frivilligt och mer krävande och behöver djupare förstudier.

Första steget är att utvärdera varför din organisation behöver en ISO 27001-certifiering. Det kan vara andra regulatoriska krav som underlättas av certifieringen, eller att marknadskonkurrens gör företaget attraktivare för kunden. Värdet på bolaget stärks oftast och en certifiering kan underlätta en företagsbesiktning, due diligence.

Ledningens stöd och resursallokering

Företagsledningen måste stå helt bakom ett implementationsprojekt. De måste förstå livscykeln både för en första implementation och certifiering, men även för den årliga revisionen och resurserna som krävs för det.

Ledningen måste förankra projektet inom alla berörda delar av organisationen och säkerställa att resurser finns eller tillsätts. Organisationsförändringar kan krävas då ISO 27001 kräver att vissa funktioner är separerade från varandra.

Existerande operativa resurser, på nyckelpositioner, kommer att i perioder behöva lägga näst intill 100% för att implementera de tekniska kontroller som behövs. De kommer att behöva dokumentera existerande arbetssätt och vara med och svara på frågor under revisionsperioderna.

Kultur och mognad

Hur påverkar regelverket ISO 27001 företagets operativa verksamhet? Kan arbetssätt och företagskultur fortleva under stramare policys och kontroll?

Detta är särskilt aktuellt inom agil mjukvaruutveckling. Det är inte roligt att i slutfasen av en ISO 27001-implementation inse att utvecklingen företagets kärnprodukter hämmas av förändringarna.

Mognadsgraden inom organisationen är avgörande. En första extern revision är ett av de viktigaste beslutsunderlagen för om en implementation är möjlig. Är mognadsgraden låg är det rimligt att avvakta minst ett år för att stärka säkerhetsorganisation, tekniska kontroller och dokumentation.

Är mognadsgraden väldigt ojämn i organisationen kan omfånget, scope, anpassas för att göra en certifiering på valda delar, juridiska personer.

Kostnader

De ekonomiska fördelarna, tillsammans med värdet av stärkt informationssäkerhet, måste vida överstiga kostnader och negativ påverkan på verksamheten.

  • Resurser, interna och externa, krävs inte bara för implementationen utan kan även krävas för förändrade arbetssätt och nya funktioner.
  • Kostnaden för implementation varierar kraftigt beroende på organisationens mognadsgrad och komplexitet.
  • Certifieringen utförs av godkända certifieringsorgan till en kostnad som i förhållande till punkterna ovan är låg.

GAP-analysens tre faser

Dokumentation av

och arbetsinstruktioner

för GAP

14 domäner

Vilka områden omfattas?

Så kommer ni igång!

Börja med en förstudie.

Projektledning och externa konsulter

Jag har sett förslag på 4-9 månaders implementationstid, vilket är väldigt optimistiskt. I verkligheten handlar det om minst 12 månader i ett medelstort bolag. Naturligtvis baserat på mognad, och vilken prioritet projektet får.

Olika kompetens eller förståelse inom olika avdelningar kan göra att en avdelning klarar implementationen bra och en annan inte alls. Detta kan avhjälpas med att tillsätta erfaren projektledning på varje avdelning, med en huvudprojektledare som överser helheten.

Projektledarrollen behöver både ha tillräcklig teknisk kompetens för att förstå de tekniska kontrollerna på en grundläggande nivå och kunna kommunicera risker och rapportera till företagsledningen. Det krävs för att omvandla tekniska utmaningar till siffror som en styrgrupp förstår.

Säkerhetsrevisorer ska vara externa objektiva konsulter. Det är helt nödvändigt att använda konsulter med erfarenhet av ISO 27001 för att spara tid och pengar. Det kan även vara en fördel att ha externa projektledare för att hitta rätt kompetens med en objektiv syn, som inte störs av operativt arbete i linjen.

Risk och styrning

Det är viktigt att ha en projektstyrgrupp med täta möten där problem, blockers och risker kan avräknas. Där måste det ingå representanter från företagsledning, risk management, projektledning och säkerhetsavdelning.

Riskhantering är viktigt då tekniska kontroller som är svåra eller omöjliga att implementera måste definieras i en riskmatris så att ledningen förstår konsekvenserna. Detta ska kommuniceras med den styrgrupp som ansvarar för ISMS.

Det är viktigt med systemstöd för implementationsprojektet. Det avser både ärendehantering för operativa förändringar i verksamheten och sammanställning och spårning av nödvändiga åtgärder gentemot styrgruppen och projektledare. Detta går normalt att lösa med befintliga standardsystem.

114 kontroller

Vilka punkter?

Certifieringsprocess

Personintegritet och GDPR

ISO 27001 är inte direkt inriktad att skydda personlig integritet, som till exempel GDPR-lagstiftningen. Även om många delar överlappar regelverken.

Under 2019 släpptes en ny standard ISO 27701 som komplettera ISO 27001 och inkluderar alla krav från GDPR. ISO 27701 är ett tillägg till ISO 27001.

Artikelförfattare

David Hagdahl

IT Management Consultant

David Hagdahl

David Hagdahl är IT- och affärskonsult med mer än 25 års erfarenhet. 

  • har lång erfarenhet av att arbeta med säkerhet och regelefterlevnad inom bland annat finans och försäkring.
  • har erfarenhet av att ta fram och implementera policys och tekniska kontroller i operativ IT-verksamhet. 
  • har varit projektledare för implementation av ISO 27001 som framgångsrikt lett till certifiering.