Informationssäkerhet - Frågor och svar om ISO 27001

På grund av otillräcklig säkerhet i informationsbehandlingen lider enbart den tyska ekonomin skada som uppgår till miljarder euro varje år. Orsakerna till detta är komplexa och sträcker sig från yttre störningar, tekniska fel, industrispionage till missbruk av information av tidigare anställda. Men endast den som känner igen utmaningarna kan också vidta lämpliga åtgärder. Ett välstrukturerat ledningssystem för informationssäkerhet i enlighet med den internationellt erkända standarden ISO 27001 är en optimal grund för ett effektivt genomförande av en holistisk säkerhetsstrategi. Vad exakt innebär detta och vad måste man ta hänsyn till? Få svar på viktiga frågor om ISO 27001 här.

INNEHÅLL

• Vad är informationssäkerhet?
• Vilka är skyddsmålen för informationssäkerhet?
• Vad är ett ledningssystem för informationssäkerhet?
• För vilka organisationer är ISO 27001 användbart?
• Vilka är fördelarna med ett ledningssystem för informationssäkerhet?
• Vilken roll spelar människorna?
• ISO 27001 - Frågor om införandet
• Varför ISO 27001-certifiering?
• DQS - Vad vi kan göra för dig

Vad är informationssäkerhet?

Svaret på denna fråga är ganska enkelt när det gäller den internationella standardfamiljen för informationssäkerhet ISO 2700x:

"Information är data som är av värde för organisationen."

ISO/IEC 27000:2020-06: Informationsteknik - Säkerhetsteknik - Ledningssystem för informationssäkerhet - Översikt och vokabulär.

Du förstår, information är en tillgång som inte bör falla i händerna på obehöriga personer och som kräver lämpligt skydd.

Informationssäkerhet är därför allt som har att göra med att skydda företagets informationstillgångar. Det avgörande här är att vara medveten om de risker som finns inom ramen för företaget,eller att avslöja dem och att motverka dem med lämpliga åtgärder utifrån behoven.

"Informationssäkerhet är inte IT-säkerhet"

IT-säkerhet avser endast säkerheten för den teknik som används och inte de företagstillgångar som ska skyddas. Organisatoriska frågor, till exempel åtkomstbehörigheter, ansvar eller godkännandeförfaranden, samt psykologiska aspekter spelar också en viktig roll för informationssäkerheten. Säker IT skyddar dock även informationen i företaget.

Vilka är skyddsmålen för informationssäkerheten?

Enligt den internationella standarden ISO/IEC 27001 omfattar skyddsmålen för informationssäkerhet tre huvudaspekter:

• Konfidentialitet - skydd av konfidentiell information mot obehörig åtkomst, antingen på grund av dataskyddslagar eller på grund av affärshemligheter som omfattas av t.ex. en lag om affärshemligheter . Det är sekretessnivån som är relevant här.
• Integritet - minimering av eventuella risker, säkerställande av att alla uppgifter och all information är fullständiga och tillförlitliga.
• Tillgänglighet - säkerställa tillgång och användbarhet för auktoriserad tillgång till information, byggnader och system. Detta är viktigt för att upprätthålla processer.

Certifierad informationssäkerhet enligt ISO 27001

Skydda din information med ett ledningssystem som uppfyller internationella standarder ✓ DQS erbjuder över 35 års erfarenhet av certifiering ✓.

Viktiga frågor om informationssäkerhet

• Vilka är mitt företags värderingar?
• Vilka företagsvärden behöver skyddas?
• Vilka attacker är företagets tillgångar utsatta för?
• Vem har ett intresse av att skydda denna information?
• Vilka är lämpliga åtgärder?

Vad är ett ledningssystem för informationssäkerhet?

Ett ledningssystem för informationssäkerhet (ISMS) enligt ISO/IEC 27001 definierar riktlinjer, regler och metoder för att säkerställa säkerheten för skyddsvärd information i en organisation. Det tillhandahåller en modell för att införa, genomföra, övervaka och förbättra skyddsnivån - i enlighet med det systematiska förfarandet i PDCA-cykeln (Plan-Do-Check-Act) som är bekant från ISO 9001.

Syftet är att identifiera och analysera potentiella risker och göra dem kontrollerbara genom lämpliga åtgärder.

Varför är det viktigt att hantera informationssäkerheten?

Framgångsrika organisationer använder strukturen och öppenheten i moderna ledningssystem för att upptäcka hot och rikta in införandet av moderna säkerhetssystem. Kärnan i ett ledningssystem för informationssäkerhet är säkerheten för era egna informationstillgångar, såsom immateriella rättigheter, ekonomiska uppgifter och personaluppgifter, samt information som kunder eller tredje parter anförtrott er.

"Informationssäkerhet innebär alltid att skydda viktig information eller data av värde."

De risker som uppgifter som är värda att skydda är utsatta för är många. De kan uppstå genom materiella, mänskliga och tekniska säkerhetshot. Men endast ett holistiskt, förebyggande förvaltningssystem som ett ISMS innebär kan hantera hela spektrumet av hot och säkerställa ett företags verksamhetskontinuitet.

För vilka organisationer är ISO 27001 användbart?

Svaret på den frågan är mycket enkelt: för alla. ISO 27001 kan i princip tillämpas i alla organisationer, oavsett typ, storlek och bransch. Och: alla organisationer drar nytta av fördelarna med ett strukturerat ledningssystem. Genomförandet av ett ISMS påverkas av följande faktorer:

• Kraven och affärsmålen.
• Säkerhetsbehoven.
• De tillämpade affärsprocesserna.
• Organisationens storlek och struktur.

Vilka är fördelarna med ett ledningssystem för informationssäkerhet?

En viktig fråga. ISO 27001 formulerar kraven för systematisk utformning och genomförande av ett processorienterat ledningssystem för informationssäkerhet. Avgörande fördelar kan uppnås genom detta helhetsgrepp:

• Säkerheten för känslig information blir en integrerad del av företagets processer.
• Förebyggande skydd av skyddsmålen konfidentialitet, tillgänglighet och integritet för information.
• Upprätthållande av verksamhetens kontinuitet genom kontinuerlig förbättring av säkerhetsnivån.
• Sensibilisering av de anställda och avsevärt ökad säkerhetsmedvetenhet på alla nivåer i företaget.
• Inrättande av en effektiv riskhanteringsprocess.
• Uppbyggnad av förtroende hos berörda parter (t.ex. vid anbudsförfaranden) genom bevisat säker hantering av känslig information.
• Följsamhet till relevanta krav på efterlevnad, ökad handlingsberedskap och rättssäkerhet.

Hur kan potentiella risker hanteras?

Säkerhetsrisker kan uppstå på grund av materiella, mänskliga och tekniska hot. För att uppnå en spårbar och lämplig säkerhetsnivå i organisationen krävs en definierad riskhanteringsprocess eller metod för riskbedömning, riskhantering och riskövervakning. ISO/IEC 27005 ger god vägledning om riskhantering för informationssäkerhet.

Vilken roll spelar människor?

Människor är också en riskfaktor, eftersom hanteringen av känslig information påverkar alla anställda och partner i ett företag utan undantag. De utgör en ökad säkerhetsrisk, antingen genom okunskap eller mänskliga fel. Men endast ett fåtal organisationer reglerar vem som får tillgång till vilken information och hur den ska hanteras.

"Den nya maktkällan är inte längre pengar i händerna på några få, utan information i händerna på många." John Naisbitt, *1929, amerikan. Framtidsforskare

Bindande bestämmelser och en uttalad medvetenhet om alla frågor som rör informationssäkerhet är därför en grundläggande förutsättning. Anpassning av företagets policy eller utveckling av en lämplig informationssäkerhetspolicy är här av avgörande betydelse. Den nödvändiga sensibiliseringen av de anställda på alla (lednings)nivåer är en fråga för chefen och kan ske t.ex. genom utbildningskurser, workshops eller personliga samtal.

ISO 27001 - Frågor om genomförande

Frågan om huruvida ett företag redan måste ha infört ett ledningssystem, till exempel enligt ISO 9001, kan tydligt besvaras med "nej". ISO 27001 är en generisk standard och står - liksom alla standarder för ledningssystem - på egen hand. Detta innebär att en organisation kan inrätta och införa ett ledningssystem för informationssäkerhet när som helst och oberoende av befintliga strukturer.

Företag som har ett kvalitetsledningssystem i enlighet med ISO 9001 har dock redan skapat en bra grund för att stegvis införa omfattande informationssäkerhet.

ISO 27001 bygger i sin struktur och sitt tillvägagångssätt på den obligatoriska grundstrukturen för alla standarder för processorienterade ledningssystem, High Level Structure. Följaktligen ger detta dig möjlighet att enkelt integrera ett ledningssystem för informationssäkerhet i ett redan befintligt ledningssystem. På samma sätt är det möjligt att DQS genomför en gemensam certifiering enligt ISO 27001 tillsammans med ISO 20000-1 (IT Service Management) eller ISO 22301 (Business Continuity Management).

Vilka dokument kan stödja införandet?

Den föredragna grunden för att införa ett holistiskt ledningssystem för informationssäkerhet är den internationella standarden ISO/IEC 2700x. Den är avsedd att stödja organisationer av alla typer och storlekar vid införandet och driften av ett ISMS. Graden av genomförande inom organisationen kan kontrolleras genom en intern revision.

Hjälpsamma komponenter i standardserien är följande

• ISO/IEC 27000:2018: Informationsteknik - Säkerhetsteknik - Ledningssystem för informationssäkerhet - Översikt och vokabulär.
• ISO/IEC 27001:2013: Informationsteknik - Säkerhetsteknik - Ledningssystem för informationssäkerhet - Krav
• ISO/IEC 27002:2013: Informationsteknologi - Säkerhetsteknik - Praxisregler för kontroll av informationssäkerhet
• ISO/IEC 27003:2017: Informationsteknik - Säkerhetsteknik - Ledningssystem för informationssäkerhet - Vägledning
• ISO/IEC 27004-2016: Informationsteknik - Säkerhetsteknik - Ledning av informationssäkerhet - Övervakning, mätning, analys och utvärdering
• ISO/IEC 27005:2018: Informationsteknik - Säkerhetsteknik - Riskhantering för informationssäkerhet

Alla föreskrifter finns tillgängliga på ISO:s webbplats.

ISO 27001 - Frågor om IT-säkerhetsansvarig?

Kräver ISO 27001 en IT-säkerhetsansvarig? Svaret är "ja".

En uppgift inom ledningssystemet för informationssäkerhet är att den högsta ledningen utser en IT-säkerhetsansvarig. IT-säkerhetsansvarig är kontaktperson för alla IT-säkerhetsfrågor. Han eller hon bör integreras i alla ISMS-processer och ha nära kontakt med IT-cheferna - till exempel vid val av nya IT-komponenter och IT-tillämpningar.

Varför ISO 27001-certifiering?

Certifiering baserad på ett ackrediterat förfarande är ett bevis på att ett ledningssystem och åtgärder har införts för att systematiskt skydda informationstillgångar. Med certifikatet visar ni "svart på vitt" att ni framgångsrikt har inrättat detta system och att ni är fast beslutna att kontinuerligt förbättra det.

DQS-certifikatet, som värderas över hela världen, är det synliga uttrycket för en neutral bedömning och stärker förtroendet för ert företag. Detta är en marknadsfördel och ger goda förutsättningar vid upphandlingar och säkerhetskritisk kundverksamhet, t.ex. leverantörer av finansiella tjänster.

ISO 27001 - Frågor om certifieringsprocessen

Alla ledningssystem som bedöms utifrån internationella regler (ISO 17021) av ett ackrediterat certifieringsorgan som DQS genomgår samma certifieringsprocess.

Den första certifieringen består av systemanalysen (steg 1-revision) och systemrevisionen (steg 2-revision), under vilken revisorerna på plats kontrollerar att det övergripande systemet fungerar korrekt och att alla krav har genomförts. Certifikatet är sedan giltigt i tre år.

För att kunna garantera giltigheten under hela perioden måste ledningssystemet kontrolleras årligen. Under det första och andra året efter det att certifikatet utfärdats genomför DQS-revisorerna därför förkortade ISMS-revisioner (övervakningsrevisioner), där de till exempel granskar effektiviteten hos viktiga systemkomponenter eller hos korrigerande och förebyggande åtgärder. Omcertifiering sker sedan efter tre år.

Företag som redan har ett befintligt ledningssystem bör kombinera sina revisionsprogram och söka gemensam certifiering av sitt integrerade ledningssystem (IMS).

Är matriscertifiering möjlig?

Matriscertifiering är möjlig för företag med flera anläggningar. I princip gäller samma krav för ISO 27001 som för andra ISO-standarder, t.ex. ISO 9001 eller ISO 14001. DQS kan se till att ISO 27001 integreras i befintliga matrisförfaranden, dvs. gemensam extern revision tillsammans med andra standarder.

Vilka är fördelarna med ISO 27001 jämfört med TISAX?

TISAX® (Trusted Information Security Assessment Exchange) utvecklades som en industristandard specifikt för fordonsindustrin och anpassades till industrispecifika behov. Grunden för en TISAX®-bedömning är testkatalogen VDA Information Security Assessment (VDA ISA), som bland annat bygger på kraven i ISO 27001 eller ISO 27002 och utvidgar dessa till att omfatta ämnen som prototypskydd eller dataskydd.

Du kan hitta mer värdefull kunskap på vår produktsida för TISAX®.

Syftet med TISAX® är att säkerställa en omfattande (informations)säkerhet i alla led i leveranskedjan. Dessutom förenklar registreringen i en databas förfarandet för ömsesidigt erkännande. TISAX® erkänns dock endast inom fordonsindustrin. Kunder från andra branscher kan endast erkänna ISO 27001 som bevis på ett ISMS.

DQS - Vad vi kan göra för dig

DQS är din specialist på revisioner och certifieringar - för ledningssystem och processer. Med mer än 35 års erfarenhet och kunskapen hos 2 500 revisorer världen över är vi din kompetenta certifieringspartner som ger dig svar på alla frågor om ISO 27001.

Vi reviderar enligt cirka 200 erkända standarder och föreskrifter samt företags- och föreningsspecifika standarder. Vi var det första tyska certifieringsorgan som fick ackreditering för BS 7799-2, föregångaren till ISO/IEC 27001, i december 2000. Denna expertis är fortfarande ett uttryck för vår världsomspännande framgångssaga.

Vi svarar gärna på dina frågor

Hur mycket arbete måste man göra för att få sitt ISMS certifierat enligt ISO 27001? Få information kostnadsfritt och utan förpliktelser.

Vi ser fram emot att prata med dig.