9 steg för implementering av ISO 27001

Det finns många anledningar att anta ISO 27001, den internationella standarden som beskriver bästa praxis för ett information security management system (ISMS). Den hjälper organisationer att förbättra sin säkerhet, följa bestämmelserna för IT-säkerhet och förbättra sitt rykte.

Men att implementera Standarden tar en massa tid och är ansträngande. Det torde vara uppenbart åtminstone om du tror på påståendet ”att allting som är värt att ha är inte lättåtkomligt”. Vi har gjort processen lite lättare genom att bryta ner processen i nio steg.

1. Projektmandat

Implementeringsprojektet bör börja med att utse en projektledare som ska samarbeta med personalen för att skapa ett projektmandat. Detta är väsentligen en uppsättning svar på de här frågorna:

  • Vad hoppas vi uppnå?
  • Hur lång tid kommer det att ta?
  • Vad kommer det att kosta?
  • Har projektet ledningens stöd?

2. Projektinitiering

Organisationen bör använda sitt projektmandat till att bygga upp en mer definierad struktur som går in på specifika detaljer om informationssäkerhet och projektteamets plan och riskregister.

3. ISMS initiering

Nästa steg är att anta en metodik för implementering av ISMS. ISO 27001 bekänner att en ”process strategi” för ständig förbättring är den mest effektiva modellen för att hantera informationssäkerhet. Någon särskild metodik anges inte utan organisationen tillåts använda vilken metod som helst som de väljer att använda eller att fortsätta med en modell som de redan har på plats.

4. Ledningsramverk

I detta skede behöver ISMS en bredare känsla för det faktiska ramverket. En del av detta innebär identifikation av systemets omfattning vilket kommer att vara beroende av innehållet. Omfattningen behöver även ta hänsyn till mobila enheter och distansarbetare.

5. Kriterier för baslinje säkerhet

Organisationer bör även identifiera sina centrala säkerhetsbehov. Dessa utgör krav och motsvarande åtgärder eller kontroller som är nödvändiga för att kunna bedriva verksamheten.

6. Riskhantering

ISO 27001 tillåter organisationer att brett definiera sin egen riskhanteringsprocess. Vanliga metoder fokuserar på att titta över riskerna för specifika tillgångar eller risker som framställs i specifika scenarier. Det finns för och nackdelar med varje och några organisationer kommer att vara bättre lämpade för en metod än den andra.

Det finns fem viktiga aspekter på en ISO 27001 riskbedömning:

  • Fastställa en ram för riskbedömning
  • Identifiera risker
  • Analysera risker
  • Utvärdera risker
  • Välj riskhanteringsalternativ

7. Riskbehandlingsplan

Detta är processen där man bygger upp säkerhetskontroller som ska skydda din organisations informationstillgångar. För att säkerställa att dessa kontroller blir effektiva behöver du kontrollera att personalen kan använda dem eller samverka med kontrollerna och att de är medvetna om sina förpliktelser när det gäller informationssäkerhet.

Du kommer även att behöva utveckla en process för att bestämma, granska och upprätthålla den kompetens som är nödvändig för att uppnå dina ISMS mål. Dessa omfattar utförande av en behovsanalys och att definiera önskad kompetensnivå.

8. Mät, övervaka och granska

För att ISMS ska vara användbart måste informationssäkerhetsmålen uppfyllas. Organisationer behöver kunna mäta, följa upp och granska systemets prestanda. Detta innebär att identifiera mätvärden eller andra metoder för att mäta effektiviteten och implementering av kontrollerna.

9. Certifiering

När ISMS är på plats ska organisationer söka certifiering av en ackrediterad certifieringsverksamhet. Detta visar för intressenter att ISMS är effektivt och att organisationen förstår betydelsen av informationssäkerhet.

Certifieringsprocessen omfattar en granskning av dokumentationen av organisationens ledningssystem för att kontrollera att tillämpliga kontroller har genomförts. Certifieringsenheten kommer även att genomföra en platsrevision för att testa procedurerna i praktiken.

Lära mer

Vi tillhandahåller mer detaljer för varje steg i vår Grönbok: Implementering av ett ISMS – Tillvägagångsättet i nio steg. Den här kostnadsfria guiden visar dig exakt vad du behöver göra föra att uppfylla kraven i ISO 27001 samt markerar de utmaningar som du kommer att möta och hur du kan övervinna dem.

Du får praktiska råd om hur du implementerar standarden genom att anmäla dig till vår ISO27001 Certified ISMS Foundation Training Course.

Denna en dagars kurs förklarar hur du får ut det mesta ur ISO 27001 och ger en komplett introduktion till de viktigaste elementen som krävs för att följa standarden.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.