Det systematiska arbetssättet enligt LIS – ISO/IEC 27001 – ger förutsättningarna för att applicera säkerhetsåtgärder utifrån ett riskbaserat angreppssätt samt följa upp och förbättra. Det är säkerhetsåtgärderna som skapar det egentliga skyddet av organisationens tillgångar.

De 114 säkerhetsåtgärderna i bilaga A i ISO/IEC 27001 ger en grund av säkerhetsåtgärder som de flesta verksamheter behöver för en god informationssäkerhet och cybersäkerhet. För dataskydd finns kompletterande säkerhetsåtgärder i bilaga B i ISO/IEC 27701.

Vägledning av införande av säkerhetsåtgärder finns i ISO/IEC 27002 som ger stöd för de grundläggande 114 åtgärderna. Därutöver finns det ytterligare stödstandarder kring olika appliceringar av säkerhets­åtgärder i ISO 27000-serien inom en mängd olika områden.

Nedan visas ett urval som i regel är aktuella för de flesta organisationer, totalt finns ungefär 150 olika standarder om säkerhetsåtgärder.

Standarder för molntjänster:

ISO 27017 – Riktlinjer för säkerhets­åtgärder för molntjänster baserade på SS-ISO/IEC 27002

ISO 27018 – Riktlinjer för skydd av personuppgifter i publika molntjänster som hanterar personuppgifter

Standarder för områden där generella säkerhets­åtgärder kan vara mer komplexa:

ISO 27031 – ICT och kontinuitet

ISO 27035 – Incidenthantering

ISO 27036 – Leverantörsrelationer inklusive molntjänster

ISO 27040 – Lagring

Standarder för dataskydd:

ISO 29101

ISO 29151

Dessa standarder ger ytterligare vägledning hur man kan göra för både tillgodose kraven på ledningssystemet och få effektiv verksamhetsnytta.

SIS fördjupningsutbildningar inom SIS Informations­säkerhets­akademi bygger på vissa av dessa standarder.

Läs också: Ledningssystem enligt ISO 27000 – systematiskt arbete med dataskydd, cyber- och informationssäkerhet