Nyhet · 2016-01-01

Kom igång med ditt informationssäkerhetsarbete

Många verksamheters värde består idag i allt större utsträckning av information. ISO 27000-serien hjälper till att förbättra den interna informationssäkerheten. Standarderna är framtagna och verifierade av ledande experter runt om i världen.

Om du har ett ledningssystem på plats och vill utöka det med informationssäkerhet är det en hel del saker att tänka på. Jan-Olof Andersson arbetar med informationssäkerhet på Polismyndigheten.


Här följer några av hans bästa tips för att införa ledningssystem enligt ISO 27000-serien.

Huvudområden

(säkerhetsområden) som man behöver arbeta med vid införande av ISO 27001:

  • Informationssäkerhetspolicy
  • Organisation av informationssäkerhetsarbetet
  • Hantering av tillgångar
  • Styrning av åtkomst
  • Kryptering
  • Driftsäkerhet
  • Fysisk och miljörelaterad säkerhet
  • Kommunikationssäkerhet
  • Anskaffning, utveckling och underhåll av system
  • Leverantörsrelationer
  • Hantering av informationssäkerhetsincidenter
  • Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet
  • Efterlevnad 

Gör så här:

  1. Gör en gap-analys för att fastställa vilka delar ni redan har via ert befintliga ledningssystem och vad som måste införas för att informationssäkerhetsdelarna ska komma på plats.
  2. Gör en noggrann analys av vilka intressenterna är och vilka krav de har på informationssäkerheten. Tänk på att en angripare kan vara en intressent.
  3. Återanvänd de processer som är framtagna för ert befintliga ledningssystem och anpassa dem för ledningssystemet för informationssäkerhet.
  4. Använd samma metod och verktyg som ni är vana vid för att bedöma och behandla informationssäkerhetsrisker. Har ni ingen metod/verktyg så kan ni finna ett bra stöd i ISO 27005.
  5. Använd vägledningen ISO 27002 när ni ska ta fram resurser, kompetens, skapa medvetenhet och kommunicera kring informationssäkerhet. (se ISO 27002 kapitel 5, 6, 7).
  6. Integrera de ledningssystemstandarder ni har i organisationen. Med ISO:s nya gemensamma struktur av alla ledningssystemstandarderna (Annex SL) går det numera ganska lätt. 

Tänk på:

  • I standarden ISO 27004 finns det beskrivet hur informationssäkerhet kan mätas. Det kan vara bra att använda när du ska beskriva enligt kraven i ISO 27001 om Utvärdering av prestanda.
  • I standarden ISO 27008 finns information om hur man ”granskar” vilket också har koppling till utvärdering av prestanda.
  • I bilaga A till ISO 27001 beskrivs vilka åtgärdsmål och säkerhetsåtgärder som organisationen ska införa för att få en god informationssäkerhet. I ISO 27002 framgår i detalj hur de ska införas.

Framgångsfaktorer:

  • Att ledningen förstår nyttan med att integrera sina ledningssystem till ett gemensamt verksamhetsledningssystem.
  • Att kommunicera vad som ska göras och varför till alla som direkt berörs av ledningssystemen.
  • Att återanvända och vidareutveckla så mycketsom möjligt.
  • Att införa ett gemensamt, riskbaserat arbetssätt.
  • Att mäta vilken effekt ledningssystemet har.

27000
Innehåller grundläggande termer och begrepp och en översikt för ISO 27000-serien.

27001
Kravstandarden för certifiering. Anger de krav du bör följa för att införa, underhålla och förbättra ett ledningssystem inom informationssäkerhet. ISO 27001 kan tillämpas på alla organisationer, oavsett bransch, storlek och verksamhet. Den är även utformad så att den kan integreras med besläktade system så som ISO 9001 och ISO 14001.

27002
Ger vägledning för organisationer att införa de krav som anges i ISO 27001. Den omfattar val av, införande samt förvaltning av säkerhetsåtgärder med hänsyn tagen till organisationens riskmiljö gällande informationssäkerhet.

27003
Införandemodell. Standarden fokuserar på hur man för in ledningssystemet i verksamheten.

27004
Mätning av informationssäkerhet, hur man mäter informationssäkerhet och vilken nivå informationssäkerhet

27005
Handlar specifikt om riskhantering. Standarden är utformad för att stödja ett lyckat införande av informationssäkerhet med utgångspunkt från riskhantering.

27006
Ställer krav på certifieringsorganen.

27008
Tar upp och ger vägledning om granskning och uppföljning av säkerhetsåtgärder

Till de ovan nämnda standarderna finns även fördjupningar av ISO 27001 inom områdena: Lagringssäkerhet, Applikationssäkerhet, Nätverkssäkerhet, Outsourcing, Incidenthantering, Kontinuitetshantering och Digital bevissäkring.

Utbildning

Informationssäkerhet

ISO 27000-serien ger ett strukturerat och effektivt arbetssätt för organisationer som strävar efter förbättrad intern kontroll över informationssäkerheten.

Köp