LIS för en mindre organisation

Att införa och etablera ett ledningssystem för informationssäkerhet (LIS) baserat på ISO/IEC 27001 uppfattas ibland som både kostsamt och administrativt krångligt. Veriscan har baserat på erfarenhet och kunskap om standarder i kombination med Veriscan: s verktyg för risk tagit fram ett koncept för LIS i mindre organisationer baserat på direkt nytta.

Att införa och etablera ett ledningssystem i en mindre organisation kan tyckas vara kostsamt och svårt, man har helt enkelt inte resurserna och tiden. Det finns också ofta en uppfattning att det är mycket som ska dokumenteras. Men förutom några basdokument så anger standarden ISO/IEC 27001 att man ska bara dokumentera det som organisationen behöver. I en mindre organisation så har man ofta mycket enklare och förändringar genom att direkt ändra ett befintligt arbetssätt och andra tekniska lösningar. Att sedan standarden inte specificerar på vilket sätt dokumentationen görs öppnar upp för ett enkelt angreppssätt baserat på ett Veriscan: s verktyg – VeriscanRISK™. Risk är den centrala processen för att upprätthålla sitt LIS och ger ett naturligt och pragmatiskt förhållningssätt för en mindre organisation.

Dessa punkter tar Veriscan fasta på:

• Tiden ska vara vår vän inte fiende vid införandet
• Bara lägga till den dokumentation som behövs
• Koppla så mycket som möjligt till det som redan görs
• Låta riskhanteringsprocessen vara central
• Det systematiska arbetet sker främst genom ledningen genomgång

Praktiskt så läggs det hela upp som ett projekt med följande basfakta:

• VD eller motsvarande ska veta vad LIS innebär och sagt OK
• En CISO är utsedd
• En licens på Veriscan vRISK är accepterad
• En konsult från Veriscan stöttar införandet
• Det är klart om certifiering är målet eller ej