Secify.com

Så förbereder du dig inför en ISO/IEC 27001 implementering och certifiering tillsammans med oss!

Lena Graungaard Lindahl 18 oktober, 2023

Introduktion

Vägledning för dig som siktar mot certifiering

Är du och din organisation i tankarna om att bli certifierade i ISO27001 – ledningssystem för informationssäkerhet? Då tänker ni helt rätt – i en föränderlig omvärld med stigande hot och höga krav på informationssäkerhet är en certifiering klokt att överväga!

Rådgivare med lång bakgrund inom ISO 27001

Vi har lång erfarenhet att stödja organisationer i deras strävan att bli ISO 27001 certifierade, en omfattande process som kräver både kunskap, tid och resurser. Tillsammans med våra kunder skräddarsyr vi en anpassad plan mot certifiering, baserad på dina mål och förutsättningar. Att ta hjälp av oss är fördelaktigt för att säkerställa att du fokuserar på rätt områden, att du upprätthåller rätt standard och arbetar effektivt mot en certifiering.

För att maximera effekten i arbetet har vi på Secify sammanställt några tips på vad du kan göra innan du påbörjar ett implementeringsprojekt tillsammans med oss. Här kommer några användbara råd: 

Bärbar dator med kaffekopp i bakgrunden, på koppen står det Secify

Här kommer några användbara råd:

    1. Undersök vad som redan finns på plats. Kanske har din organisation redan en process för internrevisioner, riskhantering och avvikelsehantering (vilket är centrala delar i ISO27001-standarden), och ni har säkerligen en del säkerhetskontroller, såsom behörighetsstyrning och bakgrundskontroller vid nyanställning, som utgör viktiga säkerhetsåtgärder för att hantera risker inom en organisation. Det bästa sättet att ta reda på din organisations nuvarande lägesbild är genom en ISO27001 GAP-analys.

      Vår erfarenhet är att det blir mer kostnadseffektivt både vad gäller tid och pengar om du går i rätt riktning från början, i stället för att behöva backa och börja om.

      En GAP-analys är en metod för att mäta och identifiera skillnaden mellan en organisations nuvarande prestationer och dess önskade mål eller framtida tillstånd. Detta ger dig en tydlig bild av var din organisation befinner sig och vad som behöver åtgärdas för att uppfylla standardens krav. Det kommer även att minska risker för misstag, motverka dubbelarbete och ger er en stark grund för att utarbeta en projektplan. Vår erfarenhet är att det blir mer kostnadseffektivt både vad gäller tid och pengar om du går i rätt riktning från början, i stället för att behöva backa och börja om. Detta är något vi på Secify hjälper er med för att få en bra start på arbetet!

    2. Ladda ner ISO 27001:2022-standarden. Det är denna standard som du kommer att certifieras enligt. För att få en bättre förståelse av säkerhetsåtgärderna i standardens Bilaga A rekommenderar vi även att du laddar ner ISO27002:2022-standarden. ISO 27003:2017 är också en utmärkt komplimenterande standard för att förstå ISO27001-kraven bättre. Du kan laddar du dessa standarder via sis.se.Har du aldrig arbetat med standarder tidigare kan det vara knepigt att komma in i själva strukturen och språket i standarden. ISO 27000 kan vara en bra referens för att förstå språket och strukturen.
      • ISO/IEC 27000:2018: Informationsteknik – Säkerhetstekniker – Ledningssystem för informationssäkerhet – Översikt och termologi
        Förklaring: Innehåller grundläggande termer och definitioner som används inom hela ISO-27000-serien.
      • ISO/IEC 27001:2022: Informationssäkerhet – Cybersäkerhet och integritetsskydd – Ledningssystem för informationssäkerhet – Krav
        Förklaring: Det centrala standarddokumentet för informationssäkerhet som fastställer kraven för att etablera och upprätthålla ett ledningssystem för informationssäkerhet. Det är denna standard som din organisation kan certifiera sig enligt.
      • ISO/IEC 27002:2022: Informationssäkerhet, cybersäkerhet och integritetsskydd – Kontroller av informationssäkerhet
        Förklaring: Innehåller praktiskt vägledning om hur man implementerar säkerhetskontrollerna som finns ISO/IEC 27001:2022 standarden bilaga A.
      • ISO27003:2017: Informationsteknik – Säkerhetstekniker – Ledningssystem för informationssäkerhet – Vägledning
        Förklaring: Ger omfattande riktlinje och vägledning för att hjälpa organisationer att förstå och implementera ISO/IEC 27001-standarden effektivt.För att underlätta ditt arbete med standarderna, rekommenderar vi även att du investerar i böcker om ISO27001. För många är det trevligt att variera läsning från en dataskärm med en fysisk bok. Böcker om ISO27001 innehåller oftast praktiska exempel på hur kontrollerna i standarden kan implementeras. Om du önskar bidrar vi gärna med bokrekommendationer!
    3. Se till att du har ledningens fulla stöd. Ledningens engagemang och stöd är avgörande för en framgångsrik implementering av ISO27001. Det är viktigt att de prioriterar ISO27001-certiferingen och tillhandahåller tillräckligt med interna och externa resurser för att säkerställa en framgångsrik implementering! Förbered ledningen på extrainsatta ledningsmöten för informationsutbyte och godkännande av nya styrdokument.
    4. Tänk på om du ska certifiera hela organisationen eller bara vissa specifika delar, som processer, produkter, geografiska områden där din organisation är verksam, eller avdelningar. Det kan hända att vissa av dina processer är underlagda specifika lagkrav, som NIS och NIS2, medan andra inte är det. Är det nödvändigt att certifiera hela organisationen? Vad efterfrågar dina kunder?

      Att ha någon som ser till att ni är på rätt väg sparar mycket resurser, tid och frustration.

      Det finns fördelar och nackdelar med att certifiera bara delar av organisationen eller hela organisationen när det kommer till tid, komplexitet, externa och interna krav, gränssnitt och beroenden, effektivitet och övergripande skydd. Om du känner att det är svårt att fatta detta beslut själv, så är det något vi på Secify kan hjälpa dig med!

       

    5. Våga ta hjälp och vägledas av någon som kan och har gjort det tidigare när ni gör en GAP-analys, tar fram en projektplan, skapar mallar, genomför riskanalyser, utbildningar, workshops, fastställer omfattningen av ledningssystemet, etc. Att ha någon som ser till att ni är på rätt väg sparar mycket resurser, tid och frustration. Vi finns här för att ta din organisation genom hela den processen!
    6. Skapa en ISO 27001-projektgrupp med olika kompetensområden som tillsammans med projektledaren kan driva projektet framåt. Projektgruppen kan se olika ut beroende på organisation. Men personer med följande kompetens och erfarenhet är bra att ha med:- Projektledning
      • IT-kunskap
      • Fysisk säkerhet
      • HR
      • Förvaltning och ledning
      • Kvalitet (avvikelsehantering och revision)
    7. Informera alla i din organisation om projektet så att de är väl medvetna om vad som väntar och vad som kan behövas av dem.
    8. Skapa en dokumentationsmall som ska användas när du utvecklar nya policys, procedurer och riktlinjer (flera nya styrande dokument behöver tas fram i och med implementeringen). Genom en ISO27001 GAP-analys innan implementeringsstart tar du reda på om dina befintliga dokumentmallar uppfyller ISO27001-standardens krav.
    9. Tänk långsiktigt – även om implementeringen kan ses som ett projekt, så avslutas inte arbetet efter certifieringen. ISO27001 handlar om att kontinuerligt arbeta med informationssäkerhet och att ständigt förbättra ledningssystemet. Fundera på vem inom organisationen som bör ta det övergripande ansvaret för ledningssystemet; en så kallad ”informationssäkerhetssamordnare”, ”CISO”, eller ”säkerhetsansvarig” – eller vad du nu väljer att kalla rollen. Om du inte har tillräckligt med tid och resurser internt, kan det vara klokt att ta in en extern CISO som säkerställer att ditt ledningssystem upprätthålls även efter en certifiering.

Avslutning

Kom ihåg att vara ISO 27001-certifierad inte enbart skyddar er från säkerhetshot, utan även minskar risken för regulatoriska påföljder, förbättrar ditt anseende, minskar behovet av frekventa kundrevisioner samt leder till bättre organisatorisk struktur och fokus!

Vi hoppas att detta kommer att vara till nytta för dig och ser fram emot att samarbeta med er!

2023-10-27T11:48:37+02:00
Till toppen