Checklista för ISO 27001 fungerande ledningssystem för informationssäkerhet

Här är en förenklad och praktisk checklista som hjälper er att strukturera arbetet med ISO 27001. Stegen ger en bra överblick över vad som krävs, men omfattningen varierar beroende på verksamhetens storlek, risker och förutsättningar.

1. Förankra arbetet i ledningen

Informationssäkerhet behöver ha stöd från ledningen för att fungera långsiktigt.

Det behöver vara tydligt:

• vem som ansvarar för vad
• vilka mål som gäller
• vilka resurser som finns
• hur arbetet följs upp över tid

Ett tydligt ledningsengagemang skapar förutsättningar för att informationssäkerhetsarbetet ska få rätt prioritet och resurser över tid.

2. Förstå verksamhetens krav, risker och omvärld

För att bygga ett ledningssystem som fungerar i praktiken behöver ni först förstå verksamhetens förutsättningar, omvärld och krav. Informationssäkerhet ser nämligen olika ut beroende på bransch, kunder, tjänster och riskbild.

Därför behöver organisationen analysera:
• vilka interna och externa faktorer som påverkar verksamheten
• vilka intressenter som har krav eller förväntningar på informationssäkerheten
• vilka kundkrav, avtalskrav och leverantörskrav som gäller
• vilka lagar och andra bindande krav som behöver följas
• vilka affärsrisker som kan påverka verksamheten

Denna analys skapar en viktig grund för resten av ISO 27001-processen och hjälper organisationen att fokusera på rätt risker och prioriteringar.

3. Identifiera informationstillgångar och genomför riskanalys

För att kunna skydda verksamhetens information behöver ni först förstå vilka tillgångar som är mest kritiska. Därför behöver organisationen skapa en förteckning över sina informationstillgångar och kartlägga hur de används.

Det kan exempelvis handla om:

• information och dokument
• system och databaser
• utrustning och tekniska resurser
• leverantörer och externa tjänster
• nyckelpersoner och kompetens

När informationstillgångarna har identifierats kan riskanalysen genomföras. Här bedöms bland annat:

• sannolikheten för att en händelse inträffar
• konsekvenserna om den inträffar
• befintliga skyddsåtgärder
• behovet av ytterligare åtgärder

Riskanalysen är en av de viktigaste delarna i ISO 27001-processen eftersom den ligger till grund för vilka säkerhetsåtgärder som behöver införas och prioriteras.

4. Välj säkerhetsåtgärder och skapa arbetssätt

När riskanalysen är genomförd behöver organisationen besluta vilka säkerhetsåtgärder som krävs för att hantera identifierade risker. ISO 27001 innehåller säkerhetskontroller i Bilaga A, som stöd för detta arbete. Kontrollerna omfattar bland annat områden som åtkomsthantering, incidenthantering, leverantörsstyrning, säkerhetsövervakning och kontinuitetsplanering.

Utifrån verksamhetens risker behöver organisationen bedöma vilka kontroller som är relevanta och dokumentera sina val i organisationens tillämplighetsförklaring. Därefter behöver säkerhetsarbetet omsättas i praktiken genom tydliga rutiner, processer och ansvar.
Det kan exempelvis handla om:

• incidenthantering
• behörighetsstyrning
• säkerhetskopiering
• leverantörsbedömningar
• förändringshantering
• kontinuitets- och återställningsplanering

Det viktiga är inte att skapa så många dokument som möjligt. Det viktiga är att arbetssätten fungerar i vardagen och faktiskt används i verksamheten.

5. Utbilda organisationen

Många informationssäkerhetsincidenter beror inte på tekniska brister utan på mänskliga misstag. Därför behöver medarbetare förstå sitt ansvar och veta hur organisationens säkerhetsrutiner ska tillämpas i praktiken.

Utbildning och medvetandegörande aktiviteter bör bland annat omfatta:

• informationssäkerhetspolicy och interna rutiner
• vanliga cyberhot som nätfiske
• hantering av information och behörigheter
• rapportering av incidenter och avvikelser

När informationssäkerhet blir en naturlig del av det dagliga arbetet minskar risken för misstag samtidigt som organisationens säkerhetskultur stärks.

6. Följ upp, mät och förbättra

För att säkerställa att ledningssystemet fungerar över tid behöver organisationen regelbundet följa upp sitt informationssäkerhetsarbete.

Det kan exempelvis omfatta:

• uppföljning av informationssäkerhetsmål
• informationssäkerhetsmöten
• uppföljning av risker och handlingsplaner
• analys av incidenter och avvikelser
• mätning av säkerhetsarbetets effektivitet

Ledningen behöver också regelbundet utvärdera ledningssystemets prestanda genom en ledningens genomgång. Syftet är att bedöma om arbetet ger önskad effekt och om nya risker, krav eller förbättringsbehov har uppstått.

7. Säkerställ incidenthantering och kontinuitet

Trots förebyggande säkerhetsåtgärder kan incidenter inträffa. Därför behöver organisationen vara förberedd på att upptäcka, hantera och återhämta sig från störningar som påverkar information, system eller verksamhet.

Det innebär bland annat att:

• incidenter kan rapporteras och hanteras på ett strukturerat sätt
• roller och ansvar är tydliga vid en incident
• verksamhetskritiska processer har lämpliga kontinuitetsplaner
• återställning av information och system kan genomföras vid behov
• nödlägesberedskap testas och följs upp regelbundet

Målet är att minimera konsekvenserna av en incident och säkerställa att verksamheten kan fortsätta fungera även vid oväntade händelser.

8. Genomför intern revision och förbered certifieringsrevision

Innan den externa certifieringsrevisionen behöver organisationen säkerställa att ledningssystemet fungerar som planerat och uppfyller ISO 27001 krav.

Den interna revisionen är ett krav och hjälper organisationen att:

• identifiera brister och förbättringsområden
• kontrollera att rutiner och processer följs
• säkerställa att beslutade säkerhetsåtgärder fungerar i praktiken
• förbereda verksamheten inför certifieringsrevisionen

En väl genomförd intern revision skapar inte bara bättre förutsättningar för certifiering. Den ger också värdefulla insikter som hjälper organisationen att utveckla sitt informationssäkerhetsarbete över tid.