Detta är ISO 27000

Många verksamheters värde består idag i allt högre utsträckning av information. Den information som sprids utan kontroll, är manipulerad eller inte tillgänglig kan skada en organisation avsevärt, såväl ekonomiskt som anseendemässigt.

Samhället idag handlar i hög grad om att utbyta information. Vi behöver kunna lita på att informationen hanteras på ett säkert sätt, vilket gäller såväl inom organisationer som för leverantörer och hela samhällsstrukturen i stort. Att arbeta med standarder som bas ger ökade möjligheter att bibehålla kontroll och skapa tillit för samverkan olika parter emellan. Därför finns ISO 27000-serien. 

ISO 27000-serien baseras på att just skydda information och eftersom den idag ofta finns digitaliserad så omfattar den givetvis även cybersäkerhet. I princip har alla organisationer även information som innehåller personuppgifter och därför har serien utökats med att även omfatta dataskydd.

Standarderna är framtagna och verifierade av ledande experter runt om i världen inom ISO och SIS tekniska kommitté TK 318. Serien består av en mängd olika standarder som stödjer både det systematiska ledningsarbetet såväl som införande av olika säkerhetsåtgärder.

Övergripande består ISO 27000-serien av två olika typer av standarder:

  • Ledningssystemstandarder för att stödja ett systematisk arbetssätt. Dessa har likheter med andra ledningssystemstandarder såsom ISO 9001 – Kvalitetsledning, och ISO 14000 – Miljöledning
  • Vägledningsstandarder för säkerhetsåtgärder för att skydda informationen

Att jobba systematiskt med en ledningsprocess, i kombination med att applicera säkerhetsåtgärder är unikt för ISO 27000-serien vad det gäller ISO ledningsystemstandarder.

ISO 27000-serien kan tillämpas inom alla organisationer, oavsett bransch, storlek och verksamhet.

Läs vidare om:

Certifiering

För att organisationen ska få ett ISO 27001-certifikat krävs följande

  • Organisationen har ett ledningssystem som uppfyller kraven i den standard som ska tillämpas.
  • Systemet är en naturlig del av organisationens dagliga verksamhet.
  • Systemet är beskrivet.
  • System och beskrivning underhålls löpande.
  • Att ett uttalande om tillämplighet upprättas, där de säkerhetsåtgärder som inkluderas i certifieringen specificeras.
  • Att verksamheten blir granskad mot kraven i ISO 27001 av ett ackrediterat certifieringsorgan.

Den standard som bör tillämpas är SS-EN ISO/IEC 27001 oavsett verksamhetens art och storlek. Det är möjligt att inom vissa gränser utesluta krav som inte är relevanta för användaren.

Vidare kan en organisation även certifiera sig mot SS-EN ISO/IEC 27701 för dataskydd. Processen för att certifiera sig mot den standarden är likartad.

Läs vidare om certifiering här.


Så är ISO 27000-serien uppbyggd

Illustration över 27000-seriens alla standarderKlicka på bilden för att se illustrationen i större format.

 

Standardernas roll ökar inom informationssäkerhet

Världen blir allt mer uppkopplad, teknik­­utvecklingen går snabbt och säkerhets­­riskerna blir allt fler. 

Cyberexperten och ordförande för SIS tekniska kommitté för IT- och informations­­säkerhet Roland Heickerö berättar om hur standarder för informations­säkerhet kan hjälpa organisationer att arbeta proaktivt med säkerhets­risker.

Utbildningar inom informationssäkerhet

SIS erbjuder utbildningar om våra mest sålda standarder inom informationssäkerhet så att du kan utveckla din verksamhet och din egen kompetens.

Handbok: Mät din informationssäkerhet

Handboken som hjälper dig med både en metod och ett verktyg för hur informationssäkerhets­krav ska mötas och mätas i din organisation – Gap-analys. Boken har även integrerat dataskyddsarbetet med alla krav som Dataskydds­förordningen ställer på verksamheter.