ISO 27001
Vad är ISO 27001?
Företag blir mer och mer digitaliserade vilket bidrar till att det blir allt viktigare att skydda affärskritisk eller känslig information. I förlängningen blir företag måltavlor för hackers och varje misstag som företag gör missbrukas av cyberkriminella.
ISO 27001 är en certifiering av ledningssystem för informationssäkerhet som kallas ISMS, Information Security Management System. ISMS beskriva de processer och poster som krävs för en effektiv säkerhetshantering.
En certifiering enligt ledningssystemet ISO 27001 säkerställer att företag arbetar på ett effektivt och systematiskt sätt med informationssäkerhet. Syftet är att identifiera hot och förebygga risker, för att undvika att information hamnar i orätta händer. ISO 27001 används i många länder och är idag den mest använda standarden för ledningssystem när det gäller informationssäkerhet.
Fördelar med en ISO 27001-certifiering
Fördelarna är många med att ett företag når en certifiering. Utöver att standarden medför processer som framgångsrikt skyddar företagets kritiska information kan den även skapa konkurrensfördelar och underlätta verksamhetens övriga efterlevnadsarbete. Det bidrar bland annat till ökad konkurrenskraft, ökad kundnöjdhet och starkare varumärkeskännedom.
Hur blir ett företag ISO 27001-certifierad?
För att ett företag ska bli ISO 27001-certifierad kan det i vissa fall vara ett omfattande arbete beroende på vilka förutsättningar företaget har. För att ett företag ska bli certifierad behöver det ske ske en revision av en godkänd och speciellt utsedd revisor. Även om företaget blir godkänd kommer det ske årliga revisioner, både av interna och externa revisorer. En större revision sker var tredje år då certifieringen omprövas.
De två huvudavsnitten för standarden
Krav för ISO 27001-certifiering
Kravavsnittet i standarden beskriver de egenskaper som krävs för att en organisation ska kunna hantera ISMS korrekt.
Kravavsnittet består av följande:
- Organisationens sammanhang: Standardens avsedda omfattning i en organisation
- Ledarskap: Ledningens åtagande att upprätthålla en effektiv ISMS- och säkerhetspolicy och formellt upprätta säkerhetsrelaterade roller och ansvar
- Planering: Aktiviteter som riskbedömningar och riskbehandling
- Support: Tillhandahålla nödvändiga resurser, utbildning och kommunikation angående säkerhet
- Dokumenterad information: Konsekvent praxis relaterad till säkerhetsrelaterade dokument och poster
- Drift: Utföra riskbedömningar och riskbehandling
- Prestationsutvärdering: Säkerhetsövervakning, internrevision och ledningsgranskning
- Förbättring: Håll utkik efter och ta vara på möjligheter att göra säkerhetsprocesser och kontroller bättre över tid.
Kontroller
Kontrollavsnittet innehåller en uppsättning industristandardkontroller, organiserade i följande kategorier:
- Informationssäkerhetspolicyer
- Organisation av informationssäkerhet
- Säkerhet för mänskliga resurser
- Kapitalförvaltning
- Åtkomstkontroll
- Kryptografi
- Fysisk och miljömässig säkerhet
- Driftsäkerhet
- Kommunikationssäkerhet
- Förvärv, utveckling och underhåll av system
- Leverantörsrelationer
- Informationssäkerhet incidenthantering
- Informationssäkerhetsaspekter av företagskontinuitetshantering
- Efterlevnad