Andrea Giesler | 3 juni 2019

ISO 27001-standarden erbjuder krav och en struktur som kommer att ge vägledning vid implementering av ett informationssäkerhetshanteringssystem (ISMS). Som ett ledningssystem bygger ISO 27001 på kontinuerlig förbättring – i den här artikeln lär du dig mer om hur detta återspeglas i ISO 27001-kraven och strukturen.

Två huvuddelar av standarden

Standarden är uppdelad i två delar. Den första huvuddelen består av 11 klausuler (0 till 10). Den andra delen, kallad bilaga A, ger en riktlinje för 114 kontrollmål och kontroller. Klausulerna 0 till 3 (introduktion, omfattning, normativa referenser, termer och definitioner) anger introduktionen av standarden ISO 27001. Följande klausuler 4 till 10, som tillhandahåller ISO 27001-krav som är obligatoriska om företaget vill uppfylla standarden, granskas mer detaljerat ytterligare i denna artikel.

Bilaga A till standarden stöder klausuler och deras krav med en lista över kontroller som inte är obligatoriska men som väljs som en del av riskhanteringsprocessen. Läs mer i artikeln Grundlogiken för ISO 27001: Hur fungerar informationssäkerhet?

Klausul 4: Organisationens sammanhang

En förutsättning för att framgångsrikt kunna implementera ett informationssäkerhetshanteringssystem är att förstå organisationens sammanhang. Externa och interna frågor såväl som intresserade parter måste identifieras och övervägas. Krav kan innehålla regleringsfrågor, men de kan också gå långt utöver.

Med detta i åtanke måste organisationen definiera ISMS-omfattningen. Hur omfattande kommer ISO 27001 att tillämpas på företaget?

Läs mer om organisationens sammanhang i artiklarna Hur definieras organisationens sammanhang enligt ISO 27001, Hur man identifierar intresserade enligt ISO 27001 och ISO 22301, och hur man definierar ISMS-omfånget.

Klausul 5: Ledarskap

Kraven i ISO 27001 för ett adekvat ledarskap är många. Högsta ledningens åtagande är obligatoriskt för ett ledningssystem. Mål måste fastställas i enlighet med en organisations strategiska mål. Att tillhandahålla resurser som behövs för ISMS, liksom att stödja personer för att bidra till ISMS, är andra exempel på skyldigheter att uppfylla.

Dessutom måste toppledningen upprätta en policy enligt informationssäkerheten. Denna policy bör dokumenteras och kommuniceras inom organisationen och till intresserade parter.

Roller och ansvar måste också tilldelas för att uppfylla kraven i ISO 27001-standarden och för att rapportera om ISMS prestanda.

Lär dig mer om topphantering i ISO 27001 i dessa artiklar: Topphanteringsperspektiv för implementering av informationssäkerhet, Roller och ansvar för topphantering i ISO 27001 och ISO 22301, och vad ska du skriva in din informationssäkerhetspolicy enligt ISO 27001?

Klausul 6: Planering

Planering i en ISMS-miljö bör alltid ta hänsyn till risker och möjligheter. En riskbedömning av informationssäkerheten ger en god grund att lita på. Följaktligen bör informationssäkerhetsmål baseras på riskbedömningen. Dessa mål måste anpassas till företagets övergripande mål. Dessutom måste målen främjas inom företaget. De tillhandahåller säkerhetsmål att arbeta mot för alla inom och i linje med företaget. Från riskbedömningen och säkerhetsmålen härleds en riskbehandlingsplan baserad på kontroller enligt listan i bilaga A.

För bättre förståelse för risker och möjligheter, läs artikeln ISO 27001 riskbedömning & behandling – 6 grundläggande steg. Lär dig mer om kontrollmål i artikeln ISO 27001 kontrollmål – Varför är de viktiga? För mer information om ett företags riktning, läs artikeln Anpassa informationssäkerhet till ett företags strategiska riktning enligt ISO 27001.

Klausul 7: Support

Resurser, kompetens hos anställda, medvetenhet och kommunikation är viktiga frågor för att stödja saken. Ett annat krav är att dokumentera information enligt ISO 27001. Information måste dokumenteras, skapas och uppdateras samt kontrolleras. En lämplig uppsättning dokumentation måste upprätthållas för att stödja ISMS framgång.

För mer om utbildning, medvetenhet och kommunikation läs artiklarna Hur man utbildar & medvetenhet för ISO 27001 och ISO 22301 och hur man skapar en kommunikationsplan enligt till ISO 27001. Läs mer om dokumenthantering i artikeln Dokumenthantering i ISO 27001 & BS 25999-2.

Klausul 8: Funktion

Processer är obligatoriska för att genomföra informationssäkerhet. Dessa processer måste planeras, implementeras och kontrolleras. Riskbedömning och behandling – som vi måste lära oss tidigare – måste komma ihåg av toppledningen.

Läs mer om riskbedömning och behandling i artiklarna ISO 27001 riskbedömning: Hur man matcha tillgångar, hot och sårbarheter och hur man bedömer konsekvenser och sannolikhet i ISO 27001-riskanalys, och i detta fria diagram över ISO 27001: 2013 Riskbedömning och behandlingsprocess.

Klausul 9: Prestationsbedömning

Kraven i ISO 27001-standarden förväntar sig övervakning, mätning, analys och utvärdering av informationssäkerhetshanteringssystemet. Inte bara ska avdelningen själv kontrollera sitt arbete – dessutom måste interna revisioner genomföras. Vid bestämda intervaller måste toppledningen granska organisationens ISMS.

Läs mer om prestanda, övervakning och mätning i artiklarna Nyckeltal för ISO 27001 ISMS och hur man utför övervakning och mätning i ISO 27001.

Klausul 10: Förbättring

Förbättring följer upp utvärderingen. Avvikelser måste åtgärdas genom att vidta åtgärder och eliminera orsakerna när det är tillämpligt. Dessutom bör en kontinuerlig förbättringsprocess genomföras, även om PDCA-cykeln (Plan-Do-Check-Act) inte längre är obligatorisk (läs mer om detta i artikeln Har PDCA-cykeln tagits bort från de nya ISO-standarderna? Fortfarande, PDCA-cykeln rekommenderas ofta eftersom den erbjuder en solid struktur och uppfyller kraven i ISO 27001.

För mer om förbättring av ISO 27001, läs artikeln Uppnå kontinuerlig förbättring genom användning av mognadsmodeller.

Bilaga A (normativ) Referenskontrollmål och kontroller

Bilaga A är en användbar lista över referenskontrollmål och kontroller. Börjar med A.5 Informationssäkerhetspolicy genom A.18-efterlevnad, listan erbjuder kontroller genom vilka ISO 27001-kraven kan uppfyllas och strukturen för ett ISMS kan härledas. Kontroller, identifierade genom en riskbedömning enligt beskrivningen ovan, måste övervägas och genomföras.

För mer om bilaga A, läs artiklarna En snabbguide till ISO 27001 kontroller från bilaga A och hur man strukturerar dokument för ISO 27001 kontroller i bilaga A.

Krav på ett ISMS

Implementeringen och standarden i sig kan verka utmanande eller komplicerad vid första anblicken , eftersom vissa krav kanske inte låter logiskt för dig. Men med mer djupgående lärande om det faller saker på plats och man börjar uppskatta den omfattning som implementeringen av ISO 27001 ger säkerhet. Snart efter att du har följt kommer du säkert att inse att standarden ger dig en strukturerad riktlinje, och du kommer att vara nöjd med ditt beslut om implementeringen.

Om du vill lära dig mer om ISO 27001-kraven, ladda ner den här gratis klausulen -klausulförklaring av ISO 27001.

Här kan du lära dig Hur detaljerade ska ISO 27001-dokumenten vara?

För beslutsfattare i startvärlden , det rekommenderas starkt att läsa varför de ska investera i ISO 27001 och hur implementeringen kan ge ett lyft för företaget.

Om författaren:

Andrea Giesler är en intern revisor , baserat i Köln, Tyskland, specialiserat på områdena ISO 27001, ISO 9001 och EU: s GDPR. Hon är en Certified Information Systems Auditor (CISA) och är certifierad i Risk and Information Systems Control (CRISC) av ISACA.