ISO 27001 – krav att ställa på våra leverantörer?

av Åsa Lindow, 25 augusti 2020

ISO 27001 är en standard som i Sverige är förhållandevis ny. Många förknippar denna standard med IT och tänker att det har med IT-system att göra. Den har ett vidare fokus till att omfatta information. Med stora penseldrag förklarar jag i detta inlägg vad ISO 27001 handlar om och framförallt varför det kan vara bra att ställa krav på att Din leverantör har ett certifikat enligt ISO 27001. Det är min förhoppning att Du får insikt om hur viktig denna standard är när det kommer till hantering av information. Kanske är standarden intressant för Ditt företag! Som sagt är denna standard riktigt givande.


ISO 27001 – Ledningssystem för informationssäkerhet – vad är det?

Likt andra ISO-standarder för ledningssystem, såsom ISO 9001, så är ISO 27001 en uppsättning krav som ställs på företag och organisationer. Kraven handlar om att systematiskt arbeta med ett visst fokus eller område och dessutom påvisa förbättringar inom det området. ISO 9001 fokuserar på kvalitet, ISO 14001 på miljö och ISO 45001 på företagets arbetsmiljö.

ISO 27001 fokuserar på information relaterat till företaget eller organisationen och dess säkerhet. Det kan vara information i form av produktblad, recept, ritningar, anställningsavtal, offerter mfl. Informationen kan självklart finnas i olika former såsom fysiska och digitala dokument, i IT-system, mobiler mm. Information är viktig på olika sätt och klassas därefter. Riskerna med informationen leder till åtgärder som behöver vidtas i syfte att säkra den.

Har vi klart för oss att det gäller information kopplat till vår verksamhet och att vi ska säkra den så är frågan som ställs i nästa stycke inte så svår att svara på menar jag.

Ska vi ställa krav på en ISO 27001-certifiering på våra leverantörer?

Ja, det kan vi behöva ta ställning till. Tyvärr är det inte så många som ställer sig den frågan. Det finns definitivt skäl att ställa krav på ISO 27001. Svaret på frågan utgår från informationen i första stycket. Den information som är klassad som ”viktig” kan ju finnas och/eller hanteras av en leverantör. Det kan tex vara ett IT-system som företaget nyttjar som en leverantör tillhandahåller. I detta IT-system matar vi in, laddar upp, registrerar och hanterar viktig information. Det kan vara affärstransaktioner, ekonomisk information mm. Det kan vara säkerhetsklassad information och känsliga personuppgifter i medicinska journaler och annat. Det kan vara information vi behöver ha åtkomst till 24/7.

I de fall vi har information i leverantörers system, så är det högst relevant att ställa krav på leverantören att de är certifierade enligt ISO 27001. Har leverantören ett ledningssystem enligt ISO 27001 och är certifierad så vet vi att leverantören arbetar systematiskt med att leda och styra sin verksamhet med avseende på denna information som Du tycker är så viktig. Vi vet att leverantören har säkerhetsrutiner för utveckling, drift, personal mm. I och med certifieringen vet vi att en utomstående kunnig person granskat och godkänt leverantörens ledningssystem.

Här tänker Du kanske att hmm, min erfarenhet säger mig något annat. Jag förstår. ISO-revisorerna och deras leverans ska jag prata om i ett annat inlägg… Tillbaka till ämnet.

Emellanåt i media uppkommer nyheten att känslig information kommit i ”fel händer”. Hur kan det hända undrar vi kanske? Själv tänker jag då att det saknas en förteckning, riskbedömning och åtgärder. Ja, allt det som ingår i ISO 27001 och som skulle kunnat förhindra denna typ av incidenter. Det saknas ett systematiskt arbete vad gäller informationssäkerhet helt enkelt.

Är det rent av intressant för oss att implementera ett ledningssystem enligt ISO 27001?

Kul att du ställer frågan! Svaret tänker jag ska baseras på den verksamhet Du bedriver, vilken information Du hanterar och vem som äger den. Baserat på föregående stycke är det självklart intressant om Du i Din verksamhet hanterar kunders information, definitivt om informationen är känslig eller säkerhetsklassad.

Med ISO 27001 kommer Du kunna erbjuda kunder en säker tjänst, plattform och hantering av kundens information. Du kommer framförallt vara trygg genom det systematiska arbetet ni kommer att bedriva med kunders informationssäkerhet som fokus.

Själv har jag kommit att älska denna standard och den trygghet den ger oss när det gäller våra kunders information.

Välkommen att höra av dig om du vill diskutera vårt favoritämne – ledningssystem!

Åsa Lindow

ISO-expert

asa.lindow@clarendo.se

Välkommen till Clarendo-bloggen

Här kan du som VD och ISO-intresserad hitta värdefull information och expertråd om ISO-standarder och ledningssystem. Vi på Clarendo vill hjälpa Dig att driva ett effektivt ISO-arbete.