{"id":8054,"date":"2020-05-08T00:53:24","date_gmt":"2020-05-07T22:53:24","guid":{"rendered":"https:\/\/www.secify.com\/?p=8054"},"modified":"2023-08-30T16:11:44","modified_gmt":"2023-08-30T14:11:44","slug":"certifieringsprocessen-fran-borjan-till-slut","status":"publish","type":"post","link":"http:\/\/tr-40\/artiklar\/certifieringsprocessen-fran-borjan-till-slut\/","title":{"rendered":"Certifieringsprocessen fr\u00e5n b\u00f6rjan till slut"},"content":{"rendered":"
Introduktion<\/p>\n<\/div>
V\u00e4gen till en\u00a0ISO 27001 certifiering<\/strong><\/a> \u00e4r inte helt sj\u00e4lvklar. Om ditt f\u00f6retag ska p\u00e5b\u00f6rja resan till en certifiering inom ISO 27001 s\u00e5 kan v\u00e4gen dit ibland k\u00e4nnas knepig och l\u00e5ng. Denna artikel kommer att beskriva de grundl\u00e4ggande delarna i hur en certifieringsprocess ser ut fr\u00e5n b\u00f6rjan till slut och kanske hj\u00e4lper dig att ta f\u00f6rsta steget.<\/p>\n<\/div><\/div><\/div><\/div><\/div> D\u00e5 antalet internetanv\u00e4ndare enbart i Sverige \u00e4r hela 84% av befolkningen s\u00e5 \u00e4r det inte konstigt att antalet digitala attacker \u00f6kar i allt st\u00f6rre grad. Detta drabbar i sin tur Sveriges 1.2 miljoner f\u00f6retag av varierande storlek. En digital attack mot ditt f\u00f6retag kan leda till bland annat driftstopp, avbrott i verksamheten, ekonomiska kostnader, minskat v\u00e4rde av immateriella r\u00e4ttigheter, GDPR lagbrott (som leder till b\u00f6ter), skador p\u00e5 f\u00f6retagets rykte etcetera, listan kan g\u00f6ras l\u00e5ng.<\/p>\n F\u00f6r att minska risken f\u00f6r diverse typer av attacker och \u00f6vrig informationsst\u00f6rande aktiviteter kan man d\u00e4rf\u00f6r skapa ett ledningssystem f\u00f6r informationss\u00e4kerhet (LIS). Detta rekommenderas att g\u00f6ras enligt ISO\/IEC 27001 som \u00e4r en internationell standard f\u00f6r utformningen av ledningssystem f\u00f6r informationss\u00e4kerhet. D\u00e5 informationss\u00e4kerhet \u00e4r en f\u00e4rskvara s\u00e5 b\u00f6r LIS h\u00e5llas uppdaterat och \u00e4ven uppr\u00e4tth\u00e5lla de krav som ISO\/IEC 27001 st\u00e4ller p\u00e5 ledningssystemet. B\u00e4sta s\u00e4ttet att s\u00e4kerst\u00e4lla s\u00e5 att din organisations LIS uppr\u00e4tth\u00e5ller r\u00e4tt niv\u00e5 \u00e4r att ISO\/IEC 27001-certifiera sig.<\/p>\n Har man ingen f\u00f6rkunskap om hur processen ser ut fr\u00e5n noll till certifiering kan v\u00e4gen dit k\u00e4nnas alldeles f\u00f6r l\u00e5ng och blotta tanken p\u00e5 den os\u00e4kerheten kan vara tillr\u00e4ckligt f\u00f6r att f\u00f6retaget ska avst\u00e5 fr\u00e5n att bygga upp ett v\u00e4l fungerande LIS. Det kan d\u00e5 resultera i dem n\u00e4mnda riskerna ovan.<\/p>\n<\/div><\/div><\/div><\/div><\/div> F\u00f6retag livn\u00e4r sig p\u00e5 att knyta band med andra f\u00f6retag och detta skapar komplexa n\u00e4tverk av information som flyttar in och ut ur f\u00f6retag. I dagens samh\u00e4lle \u00e4r det information som \u00e4r den absolut viktigaste resursen. Det \u00e4r d\u00e4rf\u00f6r en generellt accepterad tanke att man b\u00f6r skydda denna information.<\/p>\n Med int\u00e5gandet av GDPR (2018) s\u00e5 kom en stor v\u00e5g av krav p\u00e5 B2B men \u00e4ven B2C att personlig-data ska lagras och brukas p\u00e5 ett s\u00e4kert s\u00e4tt som inte skadar privatpersoners integritet vars data behandlas. Detta fr\u00e4mst f\u00f6r att f\u00f6rh\u00e5lla sig till lagar samt att inte missbruka sin data.<\/p>\n \u00c4r ditt f\u00f6retag leverant\u00f6r av samh\u00e4llsviktiga tj\u00e4nster till exempel el, vatten och dylikt s\u00e5 \u00e4r det inte om\u00f6jligt att ni faller under NIS-direktivet. NIS \u00e4r en europeisk lagstiftning vars syfte \u00e4r att s\u00e4tta krav p\u00e5 kritiska f\u00f6retag att kontinuerligt jobba med informationss\u00e4kerhet. Det \u00e4r dessutom upp till varje f\u00f6retag att sj\u00e4lva unders\u00f6ka ifall dem faller under NIS-direktivet och d\u00e4rav p\u00e5verkas av deras krav.<\/p>\n F\u00f6r att organisationen ska arbeta med informationss\u00e4kerhet och uppn\u00e5 de krav som st\u00e4lls av kunder, leverant\u00f6rer och lagar s\u00e5 kan din organisation inf\u00f6rskaffa ett ISO 27001-certifikat. Detta certifikat \u00e4r en st\u00e4mpel p\u00e5 att din organisation tar informationss\u00e4kerhet p\u00e5 h\u00f6gsta allvar och arbetar p\u00e5 ett strukturerat och effektivt s\u00e4tt f\u00f6r att uppn\u00e5 en h\u00f6g informationss\u00e4kerhet.<\/p>\n Om en av dina kunder eller leverant\u00f6rer st\u00e4ller ett krav p\u00e5 er att ni ska inneha en ISO 27001-certifiering. Kan det f\u00f6rst k\u00e4nnas som en otroligt l\u00e5ng och komplex process. Men det \u00e4r egentligen inte s\u00e5 avancerat. Nedan \u00e4r dem delar som kommer efter att kravet eller behovet av en ISO 27001-certifiering uppst\u00e5tt.<\/p>\n<\/div><\/div><\/div><\/div><\/div> Processen<\/p>\n<\/div> S\u00e5 h\u00e4r kommer du ig\u00e5ng med din ISO 27001 certifiering<\/p>\n<\/div><\/div><\/div> Planering<\/p>\n<\/div><\/div><\/div> En av de kanske viktigaste delarna \u00e4r att f\u00e5 med ledningen i arbetet mot en ISO 27001 certifiering. Utan deras st\u00f6d blir processen minst sagt utmanande och sv\u00e5r att genomf\u00f6ra. Ledningen kan \u00e4ven ge stor insikt i omr\u00e5den som inte omfattas av andra avdelningar.<\/p>\n<\/div> Identifiera varf\u00f6r ni \u00e4r i behov av en certifiering. F\u00f6rst\u00e5r ni hur er organisation ser ut internt och externt? Vilka lagar och regler faller ni under? Har ni k\u00e4nslig information i form av personuppgifter eller produktritningar som inte f\u00e5r l\u00e4cka ut?<\/p>\n Det \u00e4r \u00e4ven bra om ledningen l\u00e4ser p\u00e5 om hur en certifiering fungerar och hur standarden ser ut. Det kan d\u00e4rf\u00f6r vara bra att l\u00e4sa whitepapers och artiklar som den du l\u00e4ser just nu g\u00e4llande ISO 27001.<\/p>\n<\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div> Det finns flera v\u00e4gar att g\u00e5 n\u00e4r det kommer till ISO 27001 arbete k\u00e4nns det som att det \u00e4r en l\u00e5ng och kr\u00e5nglig process att uppn\u00e5 en ISO 27001-certifiering s\u00e5 b\u00f6r man ta hj\u00e4lp av en expert inom ISO 27001.<\/p>\n<\/div> Dels f\u00f6r att s\u00e4kerst\u00e4lla s\u00e5 att man f\u00e5r r\u00e4tt erfarenhet och kunskap. En expert kan bidra till att standarden f\u00f6ljs och LIS byggs upp p\u00e5 ett bra s\u00e4tt samt v\u00e4gleder dig genom hela eller delar av certifieringsprocessen.<\/p>\n<\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div> Ramar f\u00f6r ledningssystemet definieras och dokumenteras. Detta inkluderar att avg\u00f6ra vem som b\u00e4r ansvar f\u00f6r LIS, schemal\u00e4gga \u00e5terkommande aktiviteter samt regulj\u00e4ra granskningar f\u00f6r att identifiera f\u00f6rb\u00e4ttringar.<\/p>\n<\/div> H\u00e4r kan vi testa bland annat SQL servrar, VPN servrar och anslutningar, mejl-servrar, brandv\u00e4ggar, FTP och fil-servrar, sammankopplade tredjepartsystem och andra ing\u00e5ngar in till organisationens interna n\u00e4tverk och system. Ut\u00f6ver det kan vi ocks\u00e5 testa IT-systemets operativsystem och unders\u00f6ka samt ge r\u00e5d f\u00f6r att konfigurera det p\u00e5 ett s\u00e4kert s\u00e4tt (h\u00e4rdning).<\/p>\n F\u00f6rdelar med att penetrationstesta infrastruktur<\/strong><\/p>\n Informationss\u00e4kerhetspolicyn som tas fram ska spegla f\u00f6retagets m\u00e5l f\u00f6r s\u00e4kerhet samt framh\u00e4va ledningens strategi f\u00f6r informationss\u00e4kerhetsarbetet. Policyn inneh\u00e5ller bland annat hur incidenter ska hanteras, hur arbetet med informationss\u00e4kerhet \u00e4r organiserat.<\/p>\n<\/div> Men \u00e4ven vilka r\u00e4ttigheter samt skyldigheter medarbetarna har i f\u00f6retaget. Samt i vilken grad och takt som systemet ska inf\u00f6ras. Genomf\u00f6randets delar \u00e4r baserat p\u00e5 SS-ISO\/IEC 27001 s\u00e5 att allt h\u00e5ller sig till standarden.<\/p>\n<\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div> Utbildning i form av seminarium och workshops utf\u00f6rs f\u00f6r att bygga upp en sund s\u00e4kerhetskultur p\u00e5 f\u00f6retaget samt att etablera det nya ledningssystemet.<\/p>\n<\/div> Detta en viktig aspekt av informationss\u00e4kerhetsarbete d\u00e5 ett sunt f\u00f6rnuft i kombination av att faktiskt anv\u00e4nda ledningssystemet kan f\u00f6rebygga majoriteten av riskerna som tidigare n\u00e4mnts. Vidareutveckling av systemet p\u00e5g\u00e5r konstant och b\u00f6r vara en \u00e5terkommande uppgift.<\/p>\n<\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div> Organisationen m\u00e5ste ha ett ledningssystem som uppfyller SS-ISO\/IEC 27001 kraven. Systemet \u00e4r en naturlig del av organisationens dagliga verksamhet. Ledningssystemet \u00e4r v\u00e4ldokumenterat utifr\u00e5n organisationens f\u00f6ruts\u00e4ttningar. Ledningssystemet och beskrivning underh\u00e5lls l\u00f6pande och uppdateras n\u00e4r f\u00f6r\u00e4ndringar g\u00f6rs.<\/p>\n<\/div><\/div><\/div><\/div><\/div><\/div> Dags f\u00f6r certifiering! Certifiering i Sverige utf\u00f6rs av diverse certifieringsorgan och baseras p\u00e5 den svenska SS-ISO\/IEC 27001 standarden som \u00e4r framtagen av Svenska Institutet f\u00f6r Standarder (SIS).<\/p>\n<\/div>Hur kan ett ledningssystem f\u00f6r informationss\u00e4kerhet \u00f6ka s\u00e4kerheten?<\/h2>\n<\/div>
Varf\u00f6r certifiera sig?<\/h2>\n<\/div>
V\u00e4gen mot en certifiering<\/h2>\n<\/div>
Uppstart<\/h2>\n<\/div><\/div><\/div>
Styrning\/kontroll<\/h2>\n<\/div><\/div><\/div>
\n
Genomf\u00f6rande<\/h2>\n<\/div><\/div><\/div>
\nNya processer och rutiner tas fram samt LIS byggs upp detta ser olika ut f\u00f6r varje f\u00f6retag som genomg\u00e5r en ISO 27001-certifiering.<\/p>\nImplementering<\/h2>\n<\/div><\/div><\/div>
Innan Certifiering<\/h2>\n<\/div><\/div><\/div>
Certifiering<\/h2>\n<\/div><\/div><\/div>