Simovits

Simovits Consultings LIS är numer ISO27001-certifierat!

Om ni läsare inte visste om det så har Simovits Consulting LIS blivit ISO27001-certifierat!

Denna blogg kommer därför att handla om Simovits Consultings väg till en ISO27001-certifiering och övergripande beskriva arbetet som ledde till certifieringen. Avslutande kommer bloggen att presentera praktiska tips för organisationer som planerar inför eller står i startgroparna för att genomföra en ISO27001-certifiering utifrån våra erfarenheter.

Vägen till ett etablerat ledningssystem för informationssäkerhet (LIS)

För ca 3 år sedan beslutade Simovits Consulting att vi skulle ”leva som vi lär” genom etablera ett LIS som vi vill och kan leva efter. Beslutet togs eftersom Simovits Consulting har sedan företagets start arbetat med att etablera LIS för kunder och därmed bör även vi ha ett LIS som vår verksamhet kan leva efter.

Vid tidpunkten för beslutet att etablera ett LIS så hade vi redan rutiner, policies och säkerhetskrav på plats för hur vårt arbete skulle bedrivas på ett säkert sätt, men inte på den nivå som ett LIS enligt ISO27001 kräver.

Under arbetet med att etablera LIS:et så justerades målbilden till att vårt LIS ska klara en ISO2700-revision. Eftersom vi har medarbetare som är certifierade ISO27001 Lead Implementers eller Lead Assessors och har gedigen erfarenhet av att etablera LIS inom flera samhällssektorer kände vi att detta är genomförbart.

Inledningsvis började vi att etablera ett ramverk av säkerhetsåtgärder baserat utifrån kontroller från Bilaga A i standarden. Efter säkerhetsåtgärder hade implementerats i verksamheten startade arbetet att implementera de processer som krävs enligt avsnitt 4-10 i ISO27001. Vilket innebar att bland annat etablera:

Från att vi startade arbetet tills att vi kände att vi var redo för en certifieringsrevision tog ca 2 år.

Revisionsdags

När vi väl kände oss redo för certifieringsrevisionen påbörjades denna med en planeringsdialog ca 5 månader innan revisionen. Detta för att på en övergripande nivå se hur väl LIS:et uppfyllde standardens krav.

Planeringsdialogen identifierade att vi hade utfört goda insatser och hunnit implementerat många delar av vår verksamhet i LIS:et men missat att beakta vissa delar av verksamheten. Exempelvis hade stödjande processer så som sälj, ekonomi och leverantörer förbisetts. Eftersom vi hade översett dessa delar så hade vi inte utfört riskanalyser eller styrt dessa processer som standarden kräver.

Efter vi åtgärdat avvikelserna från planeringsdialogen så klarade vi revisionen men inte utan behöva hantera mindre avvikelser för att erhålla certifieringen. Revisorn ansåg att vi hade lyckats implementera och anpassa ett LIS till vår verksamhet och i enlighet med standarden. De mindre avvikelserna vi behövde hantera innan vi kunde erhålla vår certifiering var bland annat:

Slutligen efter vi åtgärdat alla avvikelser från revisionen så fick vi vår certifiering. Bara denna del tog minst en heltidstjänst under 1 månads tid.

Praktiska tips för att klara en certifiering

Nedan är några praktiska tips för organisationer som planerar eller står i startgroparna för att genomföra en certifieringsrevision. Tipsen utgår från våra erfarenheter från arbetet att bli certifierade men inkluderar även några tips från bästa praxis.

Avslutningsvis är den största lärdomen vi har tagit med oss från detta arbete är att en ISO27001-certifiering inte är en resa mot efterlevnad utan en mognadshöjande aktivitet. En ISO27001-certifiering är inte en punktinsats utan det är det kontinuerliga förbättringsarbetet som standarden kräver efter certifiering som tar resurser och arbete.