top of page
Abstrakt nätverksdesign

ISO 27001 - Hur gör man?

Att införa ISO 27001 kan kännas övermäktigt. Speciellt om företaget inte har kompetensen sen tidigare. Men i grunden handlar det om något ganska enkelt: att systematiskt skydda information genom tydliga processer, riskarbete och struktur. I den här guiden går vi igenom hur du tar dig från noll till certifiering. 

Vad är ISO 27001 och varför är det viktigt?

ISO 27001 är en internationell standard för informationssäkerhet. Den beskriver hur du bygger upp ett ledningssystem för informationssäkerhet. På engelska kallar man det ofta för ISMS, Information Security Management System, och på svenska säger man LIS, Ledningssystem för informationssäkerhet. 


Kort sagt så handlar det inte bara om teknik utan om hur hela företaget arbetar med att identifiera risker, skydda information och följa upp sitt säkerhetsarbete. Därför är informationssäkerhet en ledningsfråga!

 

En praktisk guide från noll till certifiering

Steg 1: Förstå nuläget

Innan du börjar behöver du svar på några grundläggande frågor:

  • Vilken information är viktig för verksamheten? Vad skulle ni inte klara er utan en längre stund för att fortsätta det ni arbetar med? Tex, kunddata. 

  • Var lagras den? Finns det något system som är extra kritiskt?

  • Vem har tillgång till den?

  • Vilka hot finns?

 

Detta steg handlar om att skapa en tydlig bild av vad som faktiskt ska skyddas. Många underskattar detta men utan en korrekt nulägesanalys blir resten av arbetet ineffektivt. 

 

Steg 2: Genomför en riskanalys

Kärnan i ISO 27001 är riskbaserat arbete. Du ska inte skydda allt lika mycket du ska skydda det som är mest kritiskt.

 

En riskanalys innebär att du:

  1. Identifierar hot (t.ex. dataintrång, mänskliga faktorn, driftstopp)

  2. Bedömer sannolikhet

  3. Bedömer konsekvens

  4. Prioriterar risker

 

Resultatet blir en tydlig lista över vad som behöver åtgärdas först. Börja hantera riskerna!

Det här är grunden för hela ditt ledningssystem utan en strukturerad riskanalys går det inte att uppfylla standardens krav.

 

Steg 3: Ta fram styrdokument

Nu är det dags att formalisera arbetet. ISO 27001 kräver att du dokumenterar hur organisationen arbetar med informationssäkerhet. Det kan finnas befintliga dokument som man enklats anpassar eller så behöver man börja från början. Allas resor och behov ser olika ut. Det är där sådana som oss kommer in. 

 

Exempel på viktiga styrdokument:

  • Informationssäkerhetspolicy

  • Riktlinjer för åtkomst och behörigheter

  • Incidenthanteringsprocess

  • Backup- och återställningsrutiner

  • Riskhanteringsmetod

 

Här gäller det att hitta rätt nivå: dokumenten ska vara tydliga och användbara inte bara formella papper som ingen läser.

 

Steg 4: Implementera i verksamheten

Det här är ofta det mest underskattade steget. Det är nu säkerhetskulturen byggs upp! 

 

Nu ska policys och rutiner faktiskt börja användas i praktiken:

  • Medarbetare utbildas

  • Processer införs i vardagen

  • Tekniska kontroller sätts upp

  • Roller och ansvar tydliggörs

 

ISO 27001 handlar inte om dokument utan det handlar om beteenden.
Om inget förändras i vardagen har du inte implementerat standarden, oavsett hur fina dokument du har. Här fastnar många styrdokument. 

 

Steg 5: Följ upp och förbättra

ISO bygger på kontinuerlig förbättring. Det är inte något man gör en gång utan det ska vara en del av den nya vardagen. Ni behöver skapa ett årshjul med aktiviteter som gärna ska följa verksamheten och inte bli en stoppkloss för affären. 

 

Du behöver därför:

  • Mäta och följa upp säkerhetsarbetet

  • Genomföra interna revisioner

  • Hantera avvikelser

  • Uppdatera riskanalysen regelbundet

 

Det är här det systematiska arbetet verkligen visar sitt värde.

 

Steg 6: Förbered certifiering

När ditt ledningssystem är på plats är det dags för certifiering via ett ackrediterat certifieringsorgan. Nu kommer någon in och ser att ni lever som ni lär. Är säkerhetskulturen på plats och gör ni det ni säger att ni ska göra i alla styrdokumenten? Helt enkelt - har ni koll på läget?

 

Processen sker i två steg:

  1. Granskning av dokumentation

  2. Revision på plats (eller digitalt)

 

Revisorn kontrollerar att:

  • Du arbetar enligt ISO 27001

  • Processerna fungerar i praktiken

  • Riskarbetet är systematiskt

 

Om allt uppfylls får du din certifiering, hurra!

 

Från noll till certifiering, så vad krävs egentligen?

Det viktigaste att förstå är detta:

 

ISO 27001 är inte ett IT-projekt. Det är ett verksamhetsprojekt.

 

Framgångsfaktorer:

  • Ledningens engagemang

  • Tydligt ansvar

  • Enkla och praktiska processer

  • Kontinuerligt riskarbete

 

Vårt mål när vi hjälper företag att gå mot en certifiering är att ledningssystemet ska vara ett stöd för verksamheten och inte som en administrativ börda.

 

Återigen, det kan upplevas övermäktigt men tar ni det steg för steg blir det hanterbart. Och resultatet blir ett företag som arbetar systematiskt, strukturerat och långsiktigt med informationssäkerhet. Det är något vi vet att i sin tur era kunder sätter stort värde på. 

 

Vill ni börja ta stegen? Hör av er till oss så hjälper vi till!

_DSC8398.jpg

Hanna Norell

Informationssäkerhetsspecialist

Hanna.Norell@compliance.se

bottom of page