ISO 27001

En guide till informationssäkerhetsstandarden, ISO27001

Cyberhoten ökar – men många organisationer vet inte var de ska börja.
Ett strukturerat arbete med informationssäkerhet är en bra väg framåt, och här blir ISO 27001 ett kraftfullt ramverk. I den här guiden delar Ingemar Holmgren, erfaren informationssäkerhetsexpert på Seadot Cybersecurity, med sig av sina insikter: hur standarden fungerar, varför den är viktig – och hur den kan implementeras i praktiken.

Vad är ISO 27001?

ISO 27001 är en etablerad internationell standard för hantering av informationssäkerhet, utvecklad av International Organization for Standardization (ISO) och International Electrotechnical Commission (IEC). I Sverige är det SIS (Svenska Institutet för Standarder) som hanterar standarder från ISO.

Standarden fastställer kraven för att etablera, implementera, underhålla och kontinuerligt förbättra ett ledningssystem för informationssäkerhet (Information Security Management System, ISMS).

Organisationer som uppfyller standardens krav kan välja att bli certifierade enligt ISO 27001 av en ackrediterad certifieringsorgan efter en framgångsrik revision.

Huvudkomponenter i denna standard är följande:

  • Riskhantering – ISO 27001 kräver att organisationer systematiskt identifierar, bedömer och hanterar informationssäkerhetsrisker. Detta inkluderar att identifiera hot, sårbarheter och potentiella konsekvenser.
  • Säkerhetskontroller – Standarden beskriver en omfattande uppsättning säkerhetskontroller som kan implementeras för att hantera identifierade risker. Dessa kontroller kan vara tekniska, organisatoriska eller relaterade till personal.
  • Kontinuerlig förbättring – ISO 27001 främjar en kultur av kontinuerlig förbättring genom att kräva regelbundna revisioner och uppdateringar av säkerhetsåtgärder.
  • Ledningsengagemang – För att säkerställa effektiviteten av ledningssystemet kräver ISO 27001 att ledningen är aktivt engagerad i informationssäkerhetsarbetet.

Vad är informationssäkerhet? 

Informationssäkerhet fokuserar på att säkerställa att informationens konfidentialitet, riktighet och tillgänglighet bibehålls. Detta innebär att skydda information från obehörig åtkomst, förlust, förändring eller förstöring. Informationssäkerhet inkluderar policyer och procedurer, riskhantering, utbildning och tekniska kontroller. Syftet är att hantera och skydda informationen under hela dess livscykel. Informationssäkerhet omfattar informationshantering oavsett lagringssätt, bearbetningsform eller metod för överföring och transport. Det finns dessutom många fler begrepp inom informationssäkerhetsområdet (se bild nedan).

Informationssäkerhet

 

Informationssäkerhetens huvudbegrepp är dock konfidentialitet, riktighet och tillgänglighet. Dessa begrepp brukar benämnas internationellt som CIA (Confidentiality, Integrity, Availability). Definitionen av dessa begrepp är följande:

  • Konfidentialitet – Att ingen obehörig kan läsa informationen
  • Riktighet – Att informationens innehåll inte obehörigen förändras eller förvanskas
  • Tillgänglighet – Att information kan nås när den behövs

 

Varför införa ett ledningssystem för informationssäkerhet?

Ett ledningssystem för informationssäkerhet enligt ISO 27001 ger en organisation en strukturerad, effektiv och holistisk strategi för att hantera informationssäkerhet. Det visar att organisationen är proaktiv, pålitlig och engagerad i att skydda sina informationsresurser. Genom att implementera ett sådant system kan flera betydande fördelar uppnås:

  • Riskhantering – Genom att strukturerat identifiera och bedöma säkerhetsrisker och hot kan åtgärder vidtas för att minska påverkan och sannolikhet.
  • Förtroende – Ett etablerat ledningssystem för informationssäkerhet stärker förtroendet hos kunder, partners och andra intressenter genom att visa på ett tydligt engagemang för att skydda känslig data.
  • Kontinuerlig förbättring – Att arbeta enligt ett ledningssystem ger en tydlig styrning som främjar måluppfyllelse och kontinuerligt förbättringsarbete, vilket innebär att informationssäkerheten hålls uppdaterad och anpassad till nya hot.
  • Affärsfördelar – Med ett ökat förtroende ger ledningssystemet ofta affärsfördelar såsom bättre förutsättningar i upphandlingar, eller större enkelhet i att svara upp mot kundkrav.
  • Efterlevnad – Det finns idag många lagar och regler som ställer tydliga krav på att organisationer ska skydda sin data och upprätthålla en hög nivå av informationssäkerhet. Med ett ledningssystem för informationssäkerhet blir det lättare för organisationen att uppfylla dessa krav och även undvika potentiella böter och sanktioner.
  • Motståndskraft – Genom att ha planer för att hantera och återställa från incidenter kan en organisation minimera driftstopp och minska negativ påverkan på affärsverksamheten (BCP, business continuity planning). Resultatet blir en verksamhet med ökad motståndskraft.

 

Hur fungerar ett ledningssystem enligt ISO 27001?

Kärnan i ett ledningssystem enligt ISO 27001 är processen för kontinuerliga förbättringar, PDCA-cykeln (Plan-Do-Check-Act). Detta är en systematisk process för ständig förbättring av hanteringen av informationssäkerheten. De fyra faserna i denna cykel är följande:

Planera (Plan) – Denna fas innebär att upprätta ett ledningssystem, identifiera organisationens sammanhang, förstå intressenternas behov, definiera omfattningen av ledningssystemet och genomföra en riskbedömning för att identifiera potentiella säkerhetshot.

Aktiviteter:

  • Definiera säkerhetspolicyer
  • Genomför riskbedömning
  • Identifiera kontroller och mål
  • Utveckla en riskbehandlingsplan

Göra (Do) – Denna fas handlar om att införa de planer och kontroller som fastställts i planfasen. Detta inkluderar implementering av säkerhetsåtgärder, utbildning av personal och implementering av processer för att hantera och kontrollera risker.

Aktiviteter:

  • Genomför säkerhetsåtgärder
  • Genomför medvetenhet och utbildningsprogram
  • Implementera tekniska lösningar
  • Övervaka säkerhetskontroller

Kontrollera (Check) – Denna fas innebär att övervaka och granska ledningssystemets prestanda och effektivitet. Detta inkluderar regelbundna revisioner, granskning av incidenter och bedömning av efterlevnad av säkerhetspolicyer och -mål.

Aktiviteter:

  • Utföra interna revisioner
  • Granska incidentrapporter
  • Mät prestanda
  • Utvärdera efterlevnad

Agera (Act) – Denna fas handlar om att vidta korrigerande åtgärder baserat på resultaten från kontrollfasen. Detta säkerställer att alla identifierade problem åtgärdas och förbättringar görs av ledningssystemet.

Aktiviteter:

  • Identifiera områden för förbättring
  • Genomför korrigerande åtgärder
  • Uppdatera policyer och procedurer
  • Planera för framtida förbättringar

 

Hur blir man ISO 27001 certifierad?

Det finns många sätt att organisera och driva ett projekt för att förbereda en organisation att bli ISO 27001 certifierade. Här nedan visas en väg till certifieringen, vad som ska göras och ungefär hur lång till det tar.

 

ISO 27001