ISO 27001

Hur blir man ISO 27001-certifierad?
För att du ska kunna bli certifierad enligt ISO 27001 krävs följande;
1. Informationen (dokumentationen) måste finnas på plats. Mer detaljerad beskrivning över vilken information som krävs finns beskriven i Vad krävs enligt ISO 45001:
2. Utbildning: personalen måste ha fått en grundläggande utbildning i företagets informationssäkerhetsarbete.
3. Internrevision: måste vara genomförd och resultatet dokumenterat.
4. Ledningens genomgång: ska vara genomförd och ett protokoll ska kunna visas upp.
Det är även bra om incidenthanteringen har kommit igång.

Vad kan vi hjälpa till med?

Via våra samarbetspartners kan vi vägleda dig hela vägen från framtagningen av informationen/dokumentationen som krävs till utbildning, internrevision och ledningens genomgång. Under resans gång hjälper vi även till med metodik, struktur, riskanalys och implementering, men detaljerna i teknikfrågorna måste du själv ha kontroll över.

Vad är ISO 27001?

ISO 27001 handlar inte bara om hur du säkerställer att information läcker ut, förstörs eller förändras/förvanskas. Den handlar även om att informationen ska vara lättillgänglig när den behövs. Med information menas båda digital och tryckt information, som mailas, postas, yttras i en konversation eller visas på film.

Vad krävs enligt ISO 27001?

För att kunna certifiera dig enligt ISO 27001 behöver du bl a kunna visa upp följande information:

• Identifiering av interna och externa frågor (Omvärldsanalys) , intressenter och deras bindande krav. 
• Informationssäkerhetspolicy samt mål med tillhörande handlingsplaner. 
• Identifierade säkerhetsrisker och möjligheter inkl handlingsplaner för betydande risker och fantastiska möjligheter. 
• Hur dagliga informationssäkerhetsrisker och -aspekter hanteras i processerna: försäljning, utveckling, inköp, produktion, leverans, support, HR, ekonomi, utlagda processer. 
• Genomgång av SoA (en lista över säkerhetsåtgärder i Annex A) med tydliggörande av vilka som: 
 implementerats och hur  som implementerats och hur, samt
 inte bedömts behövas och varför. 
OBS att det ska finnas spårbarhet ska finnas mellan riskanalys (3) och SoA. 
• Dokumentation som identifierats i SoA; informationsklassificering inkl regelverk, inventering av informationstillgångar inkl informationsägare, regler och rutiner kring behörigheter etc. 
• Dokumentation från bedömning av nya och utvärdering av befintliga leverantörer. 
• Rutin för informationssäkerhetsincidenter.
• Fördelat ansvar och befogenheter för informationssäkerheten inom företaget. 
• Hur & hur ofta ni kommunicerar och utbildar i informationssäkerhet. 
• Årsplanering av förbättringsarbetet; uppföljning, riskanalys samt ledningens genomgång.
• Resultat från interna revisioner och beslutade nyckeltal