Vad är ISO 27001 och vad är nyttan med denna standard?

Emellanåt hör vi på nyheterna om känsliga personuppgifter som läckt ut eller lagras på en plats där obehöriga har kunnat ta del av informationen. Vi hör också om olika typer av intrång, bedrägerier mm. I fjol blev hela sex av tio svenska företag utsatta för ransomwareattacker, en skadlig programvara som krypterar filer eller hela hårddiskar. Angriparen kräver sedan en lösensumma för att låsa upp de krypterade filerna. Statistiken visar att de flesta väljer att betala lösensumman.

Hur skyddar vi oss från informationsstöld och hur kan vi säkerställa att våra kunders information är skyddad, inte bara idag utan över tid i takt med att omvärlden och hoten förändras? Jo, genom att implementera ett ledningssystem enligt ISO 27001 – det globala ramverket för informationssäkerhet.

Vad är egentligen ISO 27001?

ISO 27001 är en internationell standard för ledningssystem med fokus på information och dess säkerhet, dvs informationssäkerhet. Många förknippar standarden med IT och IT-system. Den tolkningen är alltför snäv. Standardens inriktning är information. Information i form av produktblad, recept, ritningar, anställningsavtal, offerter mm. Standarden ställer krav på verksamhetens informationssäkerhet. Det vill säga att företaget identifierar och skyddar värdefull information. Information är en tillgång som kan finnas i en dator, och även i en pärm, på ett kontor eller till och med i en persons huvud.

Den information som är mest värdefull, eller klassas högt ska riskbedömas. Riskerna leder till åtgärder som vidtas i syfte att säkra informationen. Utöver detta anger standarden en rad andra krav som ett företag ska uppfylla. Kraven är lika för alla företag och alla branscher. För att skapa värde gäller det att bygga sitt ledningssystem rätt från grunden och tolka kraven på ett relevant sätt.

Vad är nyttan med ISO 27001?

ISO 27001 är en av många standarder för ledningssystem som ett företag kan välja att arbeta efter och certifiera sig enligt. Nyttan med ett ledningssystem är bland annat att leda och styra sin organisation effektivt. ISO 27001 blir alltmer relevant för många företag. Just för att hoten i omvärlden blir allt fler, vilket kan få konsekvenser vad gäller säkerheten. Förutom det faktum att man med ett ledningssystem kan minska sannolikheten av att drabbas av en informationssäkerhetsincident finns det andra fördelar med ett ledningssystem enligt ISO 27001, bland annat;

Systematik och ständiga förbättringar

ISO-standarder handlar om att leda och styra mot ständiga förbättringar. Ett ledningssystem enligt ISO 27001 innebär ett systematiserat arbetssätt för att ständigt förbättra informationssäkerheten. Förutom att systematiskt bli bättre på att skydda viktig information i en värld i förändring skapar ledningssystemet en medvetenhet kring säkerhet som genomsyrar organisationen, från den enskilde medarbetaren till högsta ledningen. Framför allt skapar ledningssystemet en trygghet för ledningen, att veta att organisationen lever upp till de krav som ISO 27001 ställer, inte bara tillfälligt utan över tid.

Behåll befintliga kunder och attrahera nya kunder

Allt fler företag ställer krav på sina leverantörer att de har ett ledningssystem enligt ISO 27001. Ett certifikat enligt ISO 27001 skapar ett förtroende hos kunder. Det på grund av att ett certifikat är ett bevis på att företaget har ett ledningssystem för informationssäkerhet. Certifikatet kan då självklart innebära en konkurrensfördel jämfört med kollegorna i branschen. Vill du veta mer om vad ISO certifiering är så läs vidare i denna blogg.

Minskad risk för ekonomisk förlust

Vi går tillbaka till det vi började prata om i början av texten, dvs kostsamma informationssäkerhetsincidenter. Enligt rapporter från MSB är handhavandefel den vanligaste kategorin av IT-incidenter, vilket kan tolkas som en avsaknad om medvetenhet. Med ett ledningssystem enligt ISO 27001 minskar sannolikheten för att drabbas av ekonomisk förlust orsakad av incidenter eftersom företaget har ett systematiskt arbetssätt som genomsyrar organisationen.

Hur implementerar man ett ledningssystem enligt ISO 27001?

Kul att du frågar! Då är du sannolikt nyfiken! Kraven i ISO 27001 är många och ofta svårtolkade, det ska vi inte sticka under stolen med. Vi på Clarendo har tolkat kraven i ISO 27001 och tillämpat standardkraven enligt Clarendometoden. Vi lever som vi lär och har själva ett ledningssystem certifierat enligt ISO 27001 sedan 2015. Att ställa krav på att samarbetspartnern är certifierad enligt ISO 27001 kan då vara klokt när du själv ska implementera ett ledningssystem, och det blir en cliffhanger till nästa blogg….