Det systematiska arbetet enligt ISO 27000-serien handlar i princip om att din organisation utifrån sin situation anpassar säkerhetsarbetet på ett strukturerat sätt och följer upp som en del av sin verksamhetsstyrning där ledningen är engagerad.

Hur en organisation implementerar ett ledningssystem är unikt för varje organisation, och beror bland annat på organisationens storlek, verksamhetsområde, lagar och kontraktskrav samt säkerhetsmognad.

Ett ledningssystem för informationssäkerhet kan innebära att:

• ta reda på vilka krav och förväntningar som finns
• etablera en riskhanteringsprocess 
• inför säkerhetsåtgärder utifrån de risker som finns,
  då verksamhetens information och processer kan skadas på grund av att informationen sprids till obehöriga, förvanskas eller inte finns tillgänglig.
• ha kontroll på incidenter och avvikelser samt följ upp med hjälp av internrevisioner och mätningar. Ledningen engageras och fattar beslut om förbättringar med en viss regelbundenhet. 

SIS erbjuder fördjupningsutbildningar kring införande och arbete enligt ISO 27000. Utbildningen går även igenom hur din organisation får ut nyttan när systematiken väl är på plats.

Utbildningarna finns i SIS informationssäkerhetsakademi.

Standarder som kan stödja det systematiska arbetet:

ISO 27004 – Mätning

ISO 27005 – Riskhantering

ISO 27007 – Revision

ISO 27008 – Granskning

Ytterligare stöd för dataskydd:

ISO 29134 - konsekvensbedömning avseende personlig integritet

Dessa standarder ger ytterligare vägledning hur en organisation kan göra för att både tillgodose kraven på ledningssystemet och få effektiv verksamhetsnytta. SIS fördjupningsutbildningar inom SIS Informationssäkerhetsakademi bygger på dessa standarder.

Läs också: Säkerhetsåtgärder enligt ISO 27000 – konkreta åtgärder för dataskydd, cyber- och informationssäkerhet