Dagligen publiceras nyheter om hackerattacker och IT-intrång. Företag kan öka IT-säkerheten genom att arbeta systematiskt med ett certifierat ledningssystem. ISO 27001 är standarden för certifiering av IT-säkerhet.
Ann-Sofie Gustafsson
vd, SamCert
Foto: Gert Hognert
Många funderar över fördelarna med certifiering och vill veta hur man certifieras och vilka resurser som krävs, säger Ann-Sofie Gustafsson, vd och grundare av konsultföretaget SamCert.
Informationssäkerhet i fokus
Företag som arbetar medvetet och aktivt med informationssäkerhet inger förtroende, samtidigt som resurserna koncentreras till rätt uppgifter. ISO 27001 är framförallt baserad på att identifiera och hantera informationssäkerhetsrisker i företagets processer. SamCert är ett konsultföretag som hjälper små och medelstora företag att planera och genomföra sin certifiering.
– Information är varje organisations viktigaste tillgång och den måste hanteras systematiskt och ansvarsfullt, fortsätter Ann-Sofie Gustafsson. Genom att använda standarden ISO 27001 i arbetet med ledningssystem för informationssäkerhet får organisationen vägledning i arbetet.
Rätt planering är nyckeln
För en lyckad certifiering är det väsentligt att planera och avsätta de resurser som behövs i arbetet med certifieringen. Det finns exempel på projekt där företag försökt lösa detta på egen hand men då blir kostnaden betydligt högre då det kanske krävs att en anställd jobbar heltid med projektet i upp till ett par år. Genom att ta in extern hjälp blir projektet effektivt och bidrar till företagets verksamhetsutveckling.
Budgeten för att ta in extern hjälp kan variera och lösningar finns för olika storlekar på företag säger Ann-Sofie Gustafsson.
Den interna resursfrågan
En del drar sig för att starta ett certifieringsprojekt med tanke på intern tidsåtgång. Men med rätt konsulthjälp krävs uppskattningsvis 2-300 timmar av den ISO-ansvariges arbetstid under 6-10 månaders projekttid för en lyckad certifiering enligt ISO 27001. De flesta företagsledare ser det som fullt rimligt att låta en nyckeladministratör i verksamheten ansvara för detta viktiga arbete.
Ledningssystemet byggs upp
Tillsammans med konsulten byggs ett komplett ledningssystem genom noggrann kartläggning av verksamhetens affärsprocesser och informationshantering. Framförallt baseras arbetet på noggranna riskanalyser och informationsflöden i verksamheten.
Rutiner, policys och säkerhetsåtgärder arbetas fram utifrån företagets behov. I slutet av projektet genomförs revisioner av verksamheten. Nyckelpersoner och medarbetare intervjuas i en intern revision varpå resultatet sammanställs i en rapport.
Certifikatet i hamn
Därefter genomför ett oberoende certifieringsorgan den externa revisionen som krävs för att få certifikatet i hamn. Denna revision är en opartisk bedömning av efterlevnaden av standarden i förhållande till organisationens ledningssystem. Efter godkänd certifieringsrevision utfärdas certifikat enligt ISO-standard ISO 27001.
Det är viktigt att fortsätta på den inslagna vägen efter certifieringen med regelbundna riskanalyser och att kontinuerligt upprätthålla arbetet med ledningssystemet, avslutar Ann-Sofie Gustafsson.