Ledningssystem för informationssäkerhet
kartläggning av SFK Certifiering AB åtaganden för att uppnå ackreditering enligt ISO 27006
InformationssäkerhetLedningssystemLedningssystem förInformationssäkerhetLISISO 27001ISO 27006AckrediteringCertifiering
Information är en oumbärlig tillgång i all affärsverksamhet och är ofta nyckeln till organisationers tillväxt och framgång. Korrekt information vid rätt tidpunkt kan betyda skillnaden mellan vinst och förlust, framgång eller misslyckande. Eftersom affärsvärlden idag är integrerad och därigenom sårbar är det viktigt att verksamheter skyddar sig mot angrepp. Informationssäkerhet identifierar och skyddar organisationens tillgångar samtidigt som verksamhetens utveckling och fortlevnad säkerställs. För att visa kunder och övriga intressenter att informationssäkerhetsarbetet har en central del i organisationen kan ett ledningssystem för informationssäkerhet implementeras och certifieras. Ett certifierat ledningssystem höjer organisationens förtroende genom att påvisa att all information skyddads på ett tillfredsställande sätt oavsett var i organisationen den finns. Examensarbetet är utfört på uppdrag av SFK Certifiering AB. SFK Certifiering är ett svenskt certifieringsorgan ackrediterat för att genomföra certifieringar av ledningssystem. Målet med projektet är att ge SFK Certifiering underlag till att utveckla sitt verksamhetssystem och sina medarbetare för att nå en ackreditering enligt ISO 27006:2007. Arbetet syftar till att inför en ackrediteringsansökan kartlägga och analysera berörda standarder i avseende att jämföra kraven med SFK Certifierings befintliga verksamhetssystem inkluderat rutiner, dokumentation, erfarenheter, kompetenser och resursbehov. På grund av examensarbetets tidsperiod avgränsas undersökningen till att ge SFK Certifiering underlag inför en ackreditering och avser inte att genomföra kompletteringar eller framtagande av rutiner. Examensarbetet utgår från ett problem av praktisk natur där projektuppdragaren SFK Certifiering vill söka kunskap som går att använda för att utveckla och förändra befintligt verksamhetssystem. Arbetet startade med en explorativ studie där kunskap om informations- säkerhetsområdet inklusive ISO-standarder och andra föreskrifter inhämtades. Denna kunskap låg till grund i den fortsatta deskriptiva studien där detaljerade och grundliga kartläggningar av SFK Certifierings verksamhetssystem genomfördes. I examensarbetet har det framkommit att SFK Certifiering bör utveckla, integrera och implementera ett ledningssystem för informationssäkerhet. Detta för att höja organisationens informationssäkerhet, visa kunder och övriga intressenter att det aktivt arbetas med informationssäkerhet och även för att nå SWEDACs krav inför en ackreditering. Vid utveckling av informationssäkerhetssystemet föreslås SFK Certifiering inleda med ett strukturerat angreppssätt som tar hänsyn till organisationens egna specifika krav på säkerhet. Det ses därför fördelaktigt att SFK Certifiering startar med att utarbeta en informationssäkerhetspolicy. Eftersom säkerhetsarbetet har sin utgångspunkt både ur riskanalyser och ur förebyggande och korrigerande åtgärder bör riskanalyser genomföras parallellt med utarbetning av policy. Riskerna förändras över tid och det är därför betydelsefullt att SFK Certifiering kontinuerligt genomför riskanalyser och därefter åtgärdar förekommande brister. För att säkerställa informationssäkerheten i verksamheter ses endast fördelar med att införa och systemcertifiera ett ledningssystem för informationssäkerhet enligt ISO 27001. Inte minst på grund av att dagens standarder för ledningssystem är mer processorienterade än de tidigare standarderna där paragraferna stod i centrum. Med stöd av dessa nya standarder kan verksamheter utvecklas med, och ibland tack vare införandet av olika ledningssystem.