Ledningssystem för informationssäkerhet

Informationssäkerhet handlar om en organisations förmåga att hantera och skydda information utifrån krav på sekretess, riktighet och tillgänglighet.

Ledningssystem för informationssäkerhet

Informationssäkerhet är en viktig del av skyddet för den personliga integriteten. Ingen organisation kan arbeta effektivt utan rätt information vid rätt tidpunkt. Ett av de viktigaste skälen till att arbeta med informationssäkerhet är att säkerställa att verksamheten kan fortsätta även om det som inte får hända trots allt händer ­– avbrott, störningar, eller att viktig information hamnar i fel händer.

Har organisationen byggt upp ett ledningssystem för informationssäkerhet finns det möjlighet att bli certifierad. Ledningssystemet bygger på den internationella standarden SS-EN ISO 27001 och finns att köpa hos SIS, Swedish Standards Institute. Certifieringen är främst till för organisationer som hanterar stora mängder känslig och värdefull information. Hälso- och sjukvårdssektorn, den finansiella sektorn samt företag som arbetar med konstruktion och utveckling är exempel på organisationer där det kan finnas behov av att skydda organisationens information.

Information till den som vill certifiera sitt ledningssystem

En certifiering utförs av ett certifieringsföretag. De certifieringsföretag som är ackrediterade kallas också certifieringsorgan och finns i Swedacs ackrediteringsregister.

Certifieringsorganen utformar sin certifieringsprocess efter kraven i SS-EN ISO/IEC 17021. Bland annat finns krav på

  • att den inledande certifieringsbedömningen görs i två steg
  • att uppföljning ska göras på plats minst en gång per år
  • att det efter maximalt tre år ska göras en grundligare utvärdering av systemets effektivitet och behov av förändringar som grund för nästa treårsperiod.

Information till den som vill bli ackrediterad

Opartiskhet, kompetens, det egna ledningssystemet och certifieringsprocessen ligger i fokus vid Swedacs granskning för ackreditering av certifieringsorgan för ledningssystem. Swedac granskar även det praktiska arbetet på plats, exempelvis genom att observera vid revisioner.

Ackrediteringen görs mot Swedacs föreskrifter STAFS 2007:13, mot kravstandarden för certifieringsorgan som certifierar ledningssystem, ISO/IEC 17021-1 och mot standarden SS-EN ISO/IEC 27006. Standarderna går att köpa hos SIS, Swedish Standards Institute.

Det finns även vägledningsdokument från de internationella organisationerna IAF och EA.

  • Dokument som ger vägledning för uppfyllande av ackrediteringskrav IAF MD2:2007, Transfer of Accredited Certification of Management System
  • Dokument som ger vägledning för uppfyllande av ackrediteringskrav IAF MD1:2007, Certification of Multiple Sites Based on Sampling
  • Dokument som ger vägledning för uppfyllande av ackrediteringskrav IAF MD4:2008, Computer Assisted Auditing Techniques (”CAAT”) for Accredited Certification of Management Systems
  • Dokument som ger vägledning för uppfyllande av ackrediteringskrav IAF MD11:2013, For the application of ISO/IEC 17021 for audits of integrated management systems
  • Dokument som ger vägledning för uppfyllande av ackrediteringskrav IAF MD 19:2016, For The Audit and Certification of a Management System operated by a Multi-Site Organization (where application of site sampling is not appropriate)
  • Dokument som anger acceptanskriterier eller specificerar krav på bedömda objekt/system/personer SS-ISO/IEC 27001:2013, Ledningssystem för informationssäkerhet – Krav
  • Dokument som anger acceptanskriterier eller specificerar krav på bedömda objekt/system/personer SS-ISO/IEC 27000:2014, Informationsteknik – Säkerhetstekniker – Ledningssystem för informationssäkerhet – Översikt och terminologi
  • Dokument som anger acceptanskriterier eller specificerar krav på bedömda objekt/system/personer SS ISO/IEC 27002:2007, Säkerhetstekniker – Riktlinjer för informationssäkerhetsåtgärder
  • Dokument som anger acceptanskriterier eller specificerar krav på bedömda objekt/system/personer SS-ISO/IEC 27002:2014, Säkerhetstekniker – Riktlinjer för informationssäkerhetsåtgärder
  • Dokument som anger acceptanskriterier eller specificerar krav på bedömda objekt/system/personer SS-ISO/IEC 27003:2010, Informationsteknik – Säkerhetstekniker – Vägledning för införande av ledningssystem för informationssäkerhet
  • Dokument som anger acceptanskriterier eller specificerar krav på bedömda objekt/system/personer SS-ISO/IEC 27004:2009, Informationsteknik – Säkerhetstekniker – Styrning av informationssäkerhet – Mätning
  • Dokument som anger acceptanskriterier eller specificerar krav på bedömda objekt/system/personer SS-ISO/IEC 27005:2013, Informationsteknik – Säkerhetstekniker – Riskhantering för informationssäkerhet
  • Dokument som anger acceptanskriterier eller specificerar krav på bedömda objekt/system/personer SS-ISO/IEC 27007:2011, Information technology — Security techniques — Guidelines for information security management systems auditing
  • Dokument som anger acceptanskriterier eller specificerar krav på bedömda objekt/system/personer SS-ISO/IEC TR 27008:2013, Informationsteknik – Säkerhetstekniker – Vägledning om säkerhetsåtgärder för revisorer
  • Dokument som anger acceptanskriterier eller specificerar krav på bedömda objekt/system/personer SS-EN ISO 27799:2008, Hälso- och sjukvårdsinformatik – Ledningssystem för informationssäkerhet i hälso- och sjukvården baserat på ISO/IEC 27002
  • Dokument som anger metoder för bedömning av överensstämmelse SS-EN ISO 19011:2011, Vägledning för revision av ledningssystem