Ledningssystem för informationssäkerhet (LIS)- ISO/IEC 27001

Informationssäkerhet är något som berör både enskilda och organisationer, både inom näringslivet och i offentlig verksamhet. Informationssäkerhet är mer än bara ett tekniskt problem då det också berör verksamheten och styrningen. För att hantera informationssäkerhetsstyrning kan ett företag införa ett ledningssystem för informationssäkerhet, även kallat ett LIS.

Ett systematiskt informationssäkerhetsarbete ska vara riskbaserat där riskanalysen är grundläggande och riskerna styr vilka åtgärder som ska vidtas. ISO/IEC 27001:2017 beskriver ledningssystemet och dess förankring till riskhantering på följande vis:

“Ledningssystemet för informationssäkerhet bevarar informationens konfidentialitet, riktighet och tillgänglighet genom att tillämpa en riskhanteringsprocess och ger förtroende för berörda parter att risker hanteras på ett adekvat sätt.”

Ett införande av ett LIS påverkar inte bara administrativa och tekniska säkerhetsåtgärder utan även säkerhetsmedvetandet i stort. Medvetenhet är direkt avgörande för att upprätthålla en säker cybersäkerhetsmiljö och för att bland annat motverka social engineering-relaterade hot.

Som rådgivare, projektledare eller bollplank bistår jag i arbetet med att införa ett LIS genom att utbilda, identifiera sårbarheter och införa de skydd, åtgärder och rutiner som behövs.

I stödet i att upprätta ett LIS ingår bland annat att:

  • få ledningens godkännande för initiering av ett LIS-projekt
  • definiera omfattning, gränser samt policy för LIS
  • genomföra analys av informationssäkerhetskrav
  • genomföra riskbedömning och planera riskbehandling
  • utforma LIS