ISO 27001 – krav att ställa på våra leverantörer?

ISO 27001 är en standard som i Sverige är förhållandevis ny. Många förknippar denna standard med IT och tänker att det har med IT-system att göra. Den har ett vidare fokus till att omfatta information. Med stora penseldrag förklarar jag i detta inlägg vad ISO 27001 handlar om och framförallt varför det kan vara bra att ställa krav på att Din leverantör har ett certifikat enligt ISO 27001. Det är min förhoppning att du får insikt om hur viktig denna standard är när det kommer till hantering av information. Kanske är standarden intressant för Ditt företag! Som sagt är denna standard riktigt givande.

ISO 27001 – Ledningssystem för informationssäkerhet – vad är det?

Likt andra ISO-standarder för ledningssystem, såsom ISO 9001, så är ISO 27001 en uppsättning krav som ställs på företag och organisationer. Kraven handlar om att systematiskt arbeta med ett visst fokus eller område och dessutom påvisa förbättringar inom det området. ISO 9001 fokuserar på kvalitet, ISO 14001 på miljö och ISO 45001 på företagets arbetsmiljö.

ISO 27001 fokuserar på information relaterat till företaget eller organisationen och dess säkerhet. Det kan vara information i form av produktblad, recept, ritningar, anställningsavtal, offerter mfl. Informationen kan självklart finnas i olika former såsom fysiska och digitala dokument, i IT-system, mobiler mm. Information är viktig på olika sätt och klassas därefter. Riskerna med informationen leder till åtgärder som behöver vidtas i syfte att säkra den.

Har vi klart för oss att det gäller information kopplat till vår verksamhet och att vi ska säkra den så är frågan som ställs i nästa stycke inte så svår att svara på menar jag.

Ska vi ställa krav på denna certifiering på våra leverantörer?

Ja, det kan vi behöva ta ställning till. Tyvärr är det inte så många som ställer sig den frågan. Det finns definitivt skäl att ställa krav på ISO 27001. Svaret på frågan utgår från informationen i första stycket. Den information som är klassad som ”viktig” kan ju finnas och/eller hanteras av en leverantör. Det kan tex vara ett IT-system som företaget nyttjar som en leverantör tillhandahåller. I detta IT-system matar vi in, laddar upp, registrerar och hanterar viktig information. Det kan vara affärstransaktioner, ekonomisk information mm. Säkerhetsklassad information och känsliga personuppgifter i medicinska journaler till exempel är också känslig inforation. Det kan vara information vi behöver ha åtkomst till 24/7.

I de fall vi har information i leverantörers system, så är det högst relevant att ställa krav på leverantören att de är certifierade enligt ISO 27001. Har leverantören ett ledningssystem enligt ISO 27001 och är certifierad så vet vi att leverantören arbetar systematiskt med att leda och styra sin verksamhet med avseende på denna information som du tycker är så viktig. Vi vet att leverantören har säkerhetsrutiner för utveckling, drift, personal mm. I och med certifieringen vet vi att en utomstående kunnig person granskat och godkänt leverantörens ledningssystem.

Här tänker du kanske att hmm, min erfarenhet säger mig något annat. Jag förstår. ISO-revisorerna och deras leverans ska jag prata om i ett annat inlägg… Tillbaka till ämnet.

Emellanåt i media uppkommer nyheten att känslig information kommit i ”fel händer”. Hur kan det hända undrar vi kanske? Själv tänker jag då att det saknas en förteckning, riskbedömning och åtgärder. Ja, allt det som ingår i ISO 27001 och som skulle kunnat förhindra denna typ av incidenter. Det saknas ett systematiskt arbete vad gäller informationssäkerhet helt enkelt.

Är det rent av intressant för oss att implementera ett ledningssystem enligt ISO 27001?

Kul att du ställer frågan! Vi är här för att hjälpa dig att utforska möjligheterna med att implementera ett ledningssystem enligt ISO 27001 i din verksamhet. Svaret på om detta är rätt för dig beror på flera faktorer, inklusive den typ av information du hanterar och hur du hanterar den.

Om du hanterar kunders information, särskilt om det är känslig eller säkerhetsklassad information, kan ISO 27001 vara en mycket intressant och fördelaktig standard för dig. Den ger dig möjlighet att erbjuda hög säkerhet och trygghet till dina kunder genom ett systematiskt och fokuserat arbete med informationssäkerhet.

Vårt team har djup erfarenhet av att hjälpa organisationer att implementera ISO 27001 och kan skräddarsy en lösning som passar just din verksamhet. Så om du är nyfiken och vill veta mer om hur ISO 27001 kan gynna din organisation, tveka inte att kontakta oss.

Vi ser fram emot att höra från dig och hjälpa dig att säkra din verksamhets framtid när det gäller informationssäkerhet.”