This paper aims to find out how to implement an information security management (ISMS) system that is based on ISO/IEC 27001-standard into a small organization with high employee turnover. The standard employs the PDCA-method as a course of action for implementing the standard. The reason for implementing such a system is to introduce information security to the organization and to maintain it despite the changes in management. The paper based it?s survey on a case study of a student nation in Uppsala, Sweden.

Denna uppsats frågeställning ämnar ta reda på hur det rådande informationssäkerhetsarbetet på tre olika svenska kommuner ser ut när de anskaffar sig nya informationssystem. För att analysera om det rådande informationssäkerhetsarbetet kan anses tillräckligt så kommer författarna att använda sig av ett ramverk baserat på SIS-ISO/IEC 27001:2014, SIS-ISO/IEC 27002:2013 samt myndigheten för samhällskydd och beredskaps publikation Vägledning - informationssäkerhet iupphandling. Genom att utföra intervjuer med respektive kommuns informationssäkerhetsansvariga samt genom att ta del av deras styrdokument så har en slutsats varit möjlig att dras. Slutsatsen som dras är att det informationssäkerhetsarbetet som utförs på dessa kommuner är i vissa fall bristfälligt trots att det finns många delar som utförs väl..

Information är en oumbärlig tillgång i all affärsverksamhet och är ofta nyckeln till organisationers tillväxt och framgång. Korrekt information vid rätt tidpunkt kan betyda skillnaden mellan vinst och förlust, framgång eller misslyckande. Eftersom affärsvärlden idag är integrerad och därigenom sårbar är det viktigt att verksamheter skyddar sig mot angrepp. Informationssäkerhet identifierar och skyddar organisationens tillgångar samtidigt som verksamhetens utveckling och fortlevnad säkerställs. För att visa kunder och övriga intressenter att informationssäkerhetsarbetet har en central del i organisationen kan ett ledningssystem för informationssäkerhet implementeras och certifieras.