9 trin til implementering af ISO 27001

Der er mange grunde til at indføre ISO 27001, den internationale standard, som beskriver bedste praksis for et managementsystem for informationssikkerhed  (ISMS). Den hjælper organisationer med at forbedre deres sikkerhed, at være konform med cyper sikkerhedsforordninger og beskytter og øger deres omdømme.

Men at implementere standarden tager megen tid og energi. Det burde springe i øjnene, i det mindste hvis du tror på talemålen “intet, der er værd at have, kommer nemt”. Vi har gjort processen en smule nemmere ved at dele implementeringen op i 9 trin.

1. Projektmandat

Implementeringsprojektet bør begynde med at udpege en projektleder, som arbejder med andre medarbejdere for at skabe  Det er hovedsageligt et sæt af svar på de følgende spørgsmål:

  • Hvad vil vi gerne opnå?
  • Hvor lang tid vil det tage?
  • Hvor meget vil det koste?
  • Har det ledelsens understøttelse?

2. Projektets iværksættelse

Organisationer bør bruge deres mandat til at opbygge en mere defineret struktur, som behandler specifikke detaljer om målsætninger for informationssikkerhed og projektets team, plan og risikoregister.

3. ISMS iværksættelse

Det næste trin er at anvende en metodelære til at implementere ISMS’et. ISO 27001 anerkender, at en ”processsual tilgang” til stadig forbedring er den mest effektive model til at forvalte informationssikkerhed. Dog specificerer den ikke en bestemt metodelære og tillader i stedet for organisationer at bruge en metode efter eget valg eller at fortsætte med en metode, som de allerede har på plads.

4. Managementets rammer

I dette stadie har ISMS brug for en bredere fornemmelse for de faktiske rammer. En del deraf vil være at identificere systemets anvendelsesområde, som vil være afhængig af konteksten. Anvendelsesområdet skal også tage højde for mobile enheder og telemedarbejdere.

5. Grundliggende sikkerhedskriterier

Organisationer bør identificere deres kernebehov indenfor sikkerhed. Dette er kravene og de tilsvarende forholdsregler og tiltag, som er nødvendige for at drive forretning.

6. Risikomanagement

ISO 27001 tillader organisationer at definere deres egne processer for risikomanagement bredt. Almindelige metoder fokuserer på at betragte risici for bestemte aktiver eller risici præsenteret i bestemte scenarier. Der er for- og ulemper ved begge og nogle organisationer er meget bedre egnet til den ene end den anden.

Der er fem vigtige aspekte ved en ISO 27001 risikovurdering:

  1. At etablere en ramme for risikovurdering
  2. At identificere risici
  3. At analysere risici
  4. At evaluere risici
  5. At vælge optionerne for risikoforvaltning

7. Planer for risikostyring

Dette er processen for at opbygge sikkerhedstiltag, som kan beskytte din organisations informationsaktiver. For at sikre dig, at disse tiltag er effektive, vil du have behov for at kontrollere, at medarbejdere er i stand til at arbejde eller interagere med tiltagene og at de er sig bevidste om deres pligter med hensyn til informationssikkerhed.

Du får også behov for at udvikle en proces til at definere, bedømme og vedligeholde de kompetencer, der er nødvendige for at opnå dine ISMS målsætninger. Dette involverer at gennemføre en behovsanalyse og definere et ønsket kompetenceniveau.

8. Mål, overvåg og bedøm

For at et ISMS er nogen nytte til, er det nødt til at leve op til dets målsætninger for informationssikkerhed. Organisationer er nødt til at måle, overvåge og bedømme systemets præstation. Dette involverer at udvikle metrikker eller andre metoder til at vurdere effektiviteten og implementeringen af tiltagene.

9. Certificering

Når først et ISMS er på plads, bør organisationer tilstræbe en certificering fra en akkrediteret certificeringsmyndighed. Det beviser overfor stakeholdere, at ISMS’et er effektivt og at organisationen forstår vigtigheden af informationssikkerhed.

Certificeringsprocessen involverer en gennemgang af organisationens dokumentation i dens managementsystem for at kontrollere, at de tilsvarende tiltag er blevet implementeret. Certificeringsmyndigheden gennemfører også et audit for at teste procedurerne i praksis.

Lær mere

Vi har flere detaljer om hvert af disse trin i vores grønbog: Implementering af et ISMS – ni-trins tilgangen. Denne gratis guide viser dig præcist, hvad du skal gøre for at leve op til ISO 27001’s krav, så vel som at belyse de udfordringer, du står overfor og hvordan du kan mestre dem.

Du kan få praktisk råd til implementering af standarden ved at indskrive dig på vores  ISO27001 certificerede ISMS grundlag træningskursus.

Dette en-dags kursus forklarer, hvordan du får mest ud af ISO 27001 og giver en komplet introduktion til nøgleelementerne, som er påkrævede for at være konform med standarden.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.