Simovits Consultings LIS är numer ISO27001-certifierat!
Om ni läsare inte visste om det så har Simovits Consulting LIS blivit ISO27001-certifierat!
Denna blogg kommer därför att handla om Simovits Consultings väg till en ISO27001-certifiering och övergripande beskriva arbetet som ledde till certifieringen. Avslutande kommer bloggen att presentera praktiska tips för organisationer som planerar inför eller står i startgroparna för att genomföra en ISO27001-certifiering utifrån våra erfarenheter.
Vägen till ett etablerat ledningssystem för informationssäkerhet (LIS)
För ca 3 år sedan beslutade Simovits Consulting att vi skulle ”leva som vi lär” genom etablera ett LIS som vi vill och kan leva efter. Beslutet togs eftersom Simovits Consulting har sedan företagets start arbetat med att etablera LIS för kunder och därmed bör även vi ha ett LIS som vår verksamhet kan leva efter.
Vid tidpunkten för beslutet att etablera ett LIS så hade vi redan rutiner, policies och säkerhetskrav på plats för hur vårt arbete skulle bedrivas på ett säkert sätt, men inte på den nivå som ett LIS enligt ISO27001 kräver.
Under arbetet med att etablera LIS:et så justerades målbilden till att vårt LIS ska klara en ISO2700-revision. Eftersom vi har medarbetare som är certifierade ISO27001 Lead Implementers eller Lead Assessors och har gedigen erfarenhet av att etablera LIS inom flera samhällssektorer kände vi att detta är genomförbart.
Inledningsvis började vi att etablera ett ramverk av säkerhetsåtgärder baserat utifrån kontroller från Bilaga A i standarden. Efter säkerhetsåtgärder hade implementerats i verksamheten startade arbetet att implementera de processer som krävs enligt avsnitt 4-10 i ISO27001. Vilket innebar att bland annat etablera:
- Informationssäkerhetspolicy och informationssäkerhetsmål som ligger i linje med Simovits Consulting strategiska inriktning
- Process för riskhantering
- Utbildningsplan inom LIS:et för våra anställda
- Ett uttalande om tillämplighet (SOA)
- Årshjul för återkommande aktiviteter inom LIS:et
- En process för mätning av informationssäkerhet
- Ett program för internrevision
Från att vi startade arbetet tills att vi kände att vi var redo för en certifieringsrevision tog ca 2 år.
Revisionsdags
När vi väl kände oss redo för certifieringsrevisionen påbörjades denna med en planeringsdialog ca 5 månader innan revisionen. Detta för att på en övergripande nivå se hur väl LIS:et uppfyllde standardens krav.
Planeringsdialogen identifierade att vi hade utfört goda insatser och hunnit implementerat många delar av vår verksamhet i LIS:et men missat att beakta vissa delar av verksamheten. Exempelvis hade stödjande processer så som sälj, ekonomi och leverantörer förbisetts. Eftersom vi hade översett dessa delar så hade vi inte utfört riskanalyser eller styrt dessa processer som standarden kräver.
Efter vi åtgärdat avvikelserna från planeringsdialogen så klarade vi revisionen men inte utan behöva hantera mindre avvikelser för att erhålla certifieringen. Revisorn ansåg att vi hade lyckats implementera och anpassa ett LIS till vår verksamhet och i enlighet med standarden. De mindre avvikelserna vi behövde hantera innan vi kunde erhålla vår certifiering var bland annat:
- Vi hade ett rigoröst lösenordskrav som inte var tekniskt implementerat. Flera av våra användare trodde att de levde upp till lösenordskraven tills revisorn bad användarna räkna hur långa deras lösenord var.
- Vi hade krav som var otydliga för våra medarbetare som medförde avvikelser kopplat till tvetydighet i kraven.
- Vi hade förbisett risker för vår verksamhet som vi ansåg implicit täcktes av andra risker.
- Vi har under hösten 2023 och våren 2024 utökat verksamheten med viss utveckling av applikationer och system inom Simovits Consultings, men i SOA:n hade vi exkluderat utveckling som en del av vår verksamhet.
Slutligen efter vi åtgärdat alla avvikelser från revisionen så fick vi vår certifiering. Bara denna del tog minst en heltidstjänst under 1 månads tid.
Praktiska tips för att klara en certifiering
Nedan är några praktiska tips för organisationer som planerar eller står i startgroparna för att genomföra en certifieringsrevision. Tipsen utgår från våra erfarenheter från arbetet att bli certifierade men inkluderar även några tips från bästa praxis.
- Starta i tid och avsätt tid för arbetet: Se till att starta i tid och sätt inte för ambitiösa tidsramar för arbetet. Se hellre till att ni sätter upp mål och ramar när delmål ska vara avklarade. Att bygga ett LIS är i teorin enkelt, men att praktiskt arbeta efter ett LIS tar tid och resurser.
- Noggrant avgränsa och kontrollera vilka delar i verksamheten vad som ska certifieras: Se över era huvudprocesser och stödjande processer. Det är viktigt att noggrant avgränsa vad som ska certifieras så att företaget inte breddar verksamheten och det helt plötsligt finns nya delar i verksamheten som inte granskas vid en certifiering.
- Låt inte LIS:et bli en pappersprodukt: Skriv inte bara krav och policies, genomdriv dessa i verksamheten och kontrollera samt mät efterlevnad.
- Se till att så många krav som möjligt går att införa och verifiera via tekniska åtgärder: Säkerställ att så många krav som möjligt går att införa och verifiera via tekniska åtgärder. Det blir enklare att implementera i verksamheten samt kontrollera och verifiera efterlevnad.
- Få högsta ledningens stöd: Säkerställ att högsta ledningen är involverad för att ett LIS ska vara verksamt inom en organisation. Om högsta ledningen ger sitt stöd till LIS:et, är det enklare att säkerställa att de resurser och det engagemang från medarbete som behövs faktiskt ges!
Avslutningsvis är den största lärdomen vi har tagit med oss från detta arbete är att en ISO27001-certifiering inte är en resa mot efterlevnad utan en mognadshöjande aktivitet. En ISO27001-certifiering är inte en punktinsats utan det är det kontinuerliga förbättringsarbetet som standarden kräver efter certifiering som tar resurser och arbete.