svenska  english

Ledningssystem för informationssäkerhet

Vad behöver din organisation få på plats för att få ett väl fungerande LIS?

Ett ledningssystem för informationssäkerhet (LIS) är inte enbart ett dokumenterat regelverk. Det är ett systematiskt, cykliskt och långsiktigt arbete för att uppnå rätt nivå av säkerhet, kopplat till organisationens unika risk- och kravbild. Ett fungerande LIS innebär integrering med flera processer i organisationen, såsom styrning, inköp, utveckling, IT-drift och -support, rekrytering, m.m. Detta kräver ledningens engagemang och förståelse, samarbete mellan olika yrkesroller och funktioner, tydliga ansvarsbeskrivningar och tydliga rapporteringsvägar. Själva grundbulten för informationssäkerhetsarbetet är identifiering och klassning av informationstillgångar samt ett strukturerat riskhanteringsarbete som resulterar i ett behovsanpassat skydd inom organisatorisk säkerhet, fysisk säkerhet och IT.

strukturerat riskhanteringsarbete

Kundexempel

Veriscan har arbetat med informationssäkerhet sedan 1999 och därmed genomfört en mängd LIS-införanden i olika typer av organisationer, såsom myndigheter, små och stora privata företag i många olika branscher samt i kommuner. Ett införandeprojekt kan se olika ut; allt ifrån att ingenting finns på plats från början och målet är certifiering mot ISO/IEC 27001 till att ett LIS finns, men att det är i behov av en uppfräschning för att ta hänsyn till organisatoriska och externa förändringar. I vissa fall ser vi exempel på LIS som inte är anpassade efter verksamhetens behov och som därmed har blivit enbart en mängd regelverk som få känner till eller följer. I flera fall finns ingen tydlig målbild utan det finns bara ett allmänt önskemål om att bli ”bättre”. Så här kommer några exempel på pågående eller avslutade projekt:

  • Ett mindre outsourcingföretag kontaktade Veriscan för några år sedan och bad om hjälp med att skapa bättre regelverk för informationssäkerhet. En gapanalys, en Veriscan Basic, genomfördes och en handlingsplan arbetades fram. Med tiden såg ledningen de marknadsmässiga fördelarna med att vara certifierad mot ISO/IEC 27001 och målet sattes därmed till certifiering. I nära samarbete med Veriscans seniora konsult drevs LIS-införandet mer riktat för att klara certifiering, vilket uppnåddes år 2016. Företaget använder VeriscanRISK för sin riskhantering. Veriscan stöttar fortfarande med jämna mellanrum för att säkerställa att LIS:et fortsatt är verkningsfullt.
  • Ett större globalt ISO-certifierat företag bad för ett antal år sedan om hjälp med att få processer för riskhantering på plats, för att säkerställa att verksamhetsställen runt om i världen arbetade strukturerat och likartat med informationssäkerhetsrisker samt att tydliggöra rapporteringsvägar till huvudkontoret. Arbetet avslutades när processer hade utarbetats. Detta var en del i företagets mycket långsiktiga arbete för att gå från att ha många certifikat till att ha ett enda globalt certifikat, och vi är stolta över att ha fått vara med på resan. Veriscan är fortfarande delaktiga i att ta fram metoder, verktyg och processer som en del i verksamhetens ständiga förbättringsarbete.
  • En myndighet arbetar aktivt med sitt informationssäkerhetsarbete sedan flera år tillbaka. Målet är inte certifiering, men att leva upp till kraven från MSB på att ha ett LIS som följer ISO/IEC 27001:2013. Veriscans seniora konsulter inom organisatorisk säkerhet och IT-säkerhet har följt myndigheten i deras arbete i flera år. Ett LIS är på plats och Veriscan stöttar med exempelvis informationsklassning och riskanalyser. Verktyget VeriscanRISK används.

Det här är bara ett axplock av de verksamheter som har fått stöd och fortsätter att få stöd från Veriscan med LIS-införande eller allmänt LIS-arbete. I de flesta fall blir Veriscan en långsiktig samarbetspartner, som ett bollplank eller för att göra punktinsatser, exempelvis gällande interna revisioner, som förberedelse inför omcertifiering, för att förnya material till medvetenhetsutbildningar, för att genomföra mätningar inom informationssäkerhet, etc.

Hur kan Veriscan hjälpa dig?

Med stöd av ISO/IEC 27001 och, utifrån er unika situation, andra lämpliga ISO-standarder samt era interna och externa krav bistår vi er med framtagning av regelverk och processer omkring exempelvis roller och ansvar, riskhantering, informationsklassning och säkerhetsnivåer. Vi bistår er med projektledning av införandeprojektet eller så bistår vi er utsedda projektledare med råd och stöd för att hantera de frågor som kommer upp genom projekttiden. Med hjälp av våra verktyg för informationsklassning och riskhantering, Veriscan vIC och VeriscanRISK hjälper vi er utveckla bra metoder och vi kan även stötta gällande genomförande av workshops ute i er verksamhet. Vi bistår också i att ta fram processer för kravställning på resursägare gällande nivåer av skydd för information. Om egna verktyg finns så tillämpar vi förstås dem i vårt arbete. Över projektets gång kan olika former av metoder och verktyg användas för att säkerställa att projektets framgång. Exempel på det:

  • Genomförande av en gapanalys mot ISO/IEC 27001 inklusive Bilaga A (med metodiken Veriscan Basic) och framarbetande av en handlingsplan
  • En workshop för att väcka ledningens engagemang och förståelse för varför organisationen behöver bli bättre på informationssäkerhet i form av ett riskscenario
  • Utbildningspaket till olika användargrupper samt genomförande av utbildningar (exempelvis till medarbetare, informationsägare, resursägare, ledning, IT)
  • Genomförande av en testomgång av ledningens genomgång för att sätta arbetsformerna för de kommande genomgångarna

Vi gör inte hela arbetet åt er, utan vi stöttar er att bli självständiga och hjälper er att ta fram ett LIS som är anpassat till er verksamhet.

Kontakt

Kontakta Veriscan för mer information.
Email: info@veriscan.se