Certifieringsprocessen från början till slut

Henrik Petterson 8 de mayo de 2020

Introduktion

En inte alltid helt självklar väg att gå

Vägen till en ISO 27001 certifiering är inte helt självklar. Om ditt företag ska påbörja resan till en certifiering inom ISO 27001 så kan vägen dit ibland kännas knepig och lång. Denna artikel kommer att beskriva de grundläggande delarna i hur en certifieringsprocess ser ut från början till slut och kanske hjälper dig att ta första steget.

Hur kan ett ledningssystem för informationssäkerhet öka säkerheten?

Då antalet internetanvändare enbart i Sverige är hela 84% av befolkningen så är det inte konstigt att antalet digitala attacker ökar i allt större grad. Detta drabbar i sin tur Sveriges 1.2 miljoner företag av varierande storlek. En digital attack mot ditt företag kan leda till bland annat driftstopp, avbrott i verksamheten, ekonomiska kostnader, minskat värde av immateriella rättigheter, GDPR lagbrott (som leder till böter), skador på företagets rykte etcetera, listan kan göras lång.

För att minska risken för diverse typer av attacker och övrig informationsstörande aktiviteter kan man därför skapa ett ledningssystem för informationssäkerhet (LIS). Detta rekommenderas att göras enligt ISO/IEC 27001 som är en internationell standard för utformningen av ledningssystem för informationssäkerhet. Då informationssäkerhet är en färskvara så bör LIS hållas uppdaterat och även upprätthålla de krav som ISO/IEC 27001 ställer på ledningssystemet. Bästa sättet att säkerställa så att din organisations LIS upprätthåller rätt nivå är att ISO/IEC 27001-certifiera sig.

Har man ingen förkunskap om hur processen ser ut från noll till certifiering kan vägen dit kännas alldeles för lång och blotta tanken på den osäkerheten kan vara tillräckligt för att företaget ska avstå från att bygga upp ett väl fungerande LIS. Det kan då resultera i dem nämnda riskerna ovan.

Varför certifiera sig?

Företag livnär sig på att knyta band med andra företag och detta skapar komplexa nätverk av information som flyttar in och ut ur företag. I dagens samhälle är det information som är den absolut viktigaste resursen. Det är därför en generellt accepterad tanke att man bör skydda denna information.

Med intågandet av GDPR (2018) så kom en stor våg av krav på B2B men även B2C att personlig-data ska lagras och brukas på ett säkert sätt som inte skadar privatpersoners integritet vars data behandlas. Detta främst för att förhålla sig till lagar samt att inte missbruka sin data.

Är ditt företag leverantör av samhällsviktiga tjänster till exempel el, vatten och dylikt så är det inte omöjligt att ni faller under NIS-direktivet. NIS är en europeisk lagstiftning vars syfte är att sätta krav på kritiska företag att kontinuerligt jobba med informationssäkerhet. Det är dessutom upp till varje företag att själva undersöka ifall dem faller under NIS-direktivet och därav påverkas av deras krav.

För att organisationen ska arbeta med informationssäkerhet och uppnå de krav som ställs av kunder, leverantörer och lagar så kan din organisation införskaffa ett ISO 27001-certifikat. Detta certifikat är en stämpel på att din organisation tar informationssäkerhet på högsta allvar och arbetar på ett strukturerat och effektivt sätt för att uppnå en hög informationssäkerhet.

Om en av dina kunder eller leverantörer ställer ett krav på er att ni ska inneha en ISO 27001-certifiering. Kan det först kännas som en otroligt lång och komplex process. Men det är egentligen inte så avancerat. Nedan är dem delar som kommer efter att kravet eller behovet av en ISO 27001-certifiering uppstått.

Vägen mot en certifiering

Processen

Så här kommer du igång med din ISO 27001 certifiering

Planering

En av de kanske viktigaste delarna är att få med ledningen i arbetet mot en ISO 27001 certifiering. Utan deras stöd blir processen minst sagt utmanande och svår att genomföra. Ledningen kan även ge stor insikt i områden som inte omfattas av andra avdelningar.

Läs mer

Identifiera varför ni är i behov av en certifiering. Förstår ni hur er organisation ser ut internt och externt? Vilka lagar och regler faller ni under? Har ni känslig information i form av personuppgifter eller produktritningar som inte får läcka ut?

Det är även bra om ledningen läser på om hur en certifiering fungerar och hur standarden ser ut. Det kan därför vara bra att läsa whitepapers och artiklar som den du läser just nu gällande ISO 27001.

Uppstart

Det finns flera vägar att gå när det kommer till ISO 27001 arbete känns det som att det är en lång och krånglig process att uppnå en ISO 27001-certifiering så bör man ta hjälp av en expert inom ISO 27001.

Läs mer

Dels för att säkerställa så att man får rätt erfarenhet och kunskap. En expert kan bidra till att standarden följs och LIS byggs upp på ett bra sätt samt vägleder dig genom hela eller delar av certifieringsprocessen.

Styrning/kontroll

Ramar för ledningssystemet definieras och dokumenteras. Detta inkluderar att avgöra vem som bär ansvar för LIS, schemalägga återkommande aktiviteter samt reguljära granskningar för att identifiera förbättringar.

Läs mer

Här kan vi testa bland annat SQL servrar, VPN servrar och anslutningar, mejl-servrar, brandväggar, FTP och fil-servrar, sammankopplade tredjepartsystem och andra ingångar in till organisationens interna nätverk och system. Utöver det kan vi också testa IT-systemets operativsystem och undersöka samt ge råd för att konfigurera det på ett säkert sätt (härdning).

Fördelar med att penetrationstesta infrastruktur

Hittar och testar CVE sårbarheter
Identifierar brister i brandväggskonfigurationer
Identifierar vad en angripare kan göra om den befinner sig på det interna nätverket eller kommer in i nätverket via en VPN-koppling

Genomförande

Informationssäkerhetspolicyn som tas fram ska spegla företagets mål för säkerhet samt framhäva ledningens strategi för informationssäkerhetsarbetet. Policyn innehåller bland annat hur incidenter ska hanteras, hur arbetet med informationssäkerhet är organiserat.

Läs mer

Men även vilka rättigheter samt skyldigheter medarbetarna har i företaget. Samt i vilken grad och takt som systemet ska införas.
Nya processer och rutiner tas fram samt LIS byggs upp detta ser olika ut för varje företag som genomgår en ISO 27001-certifiering.

Genomförandets delar är baserat på SS-ISO/IEC 27001 så att allt håller sig till standarden.

Implementering

Utbildning i form av seminarium och workshops utförs för att bygga upp en sund säkerhetskultur på företaget samt att etablera det nya ledningssystemet.

Läs mer

Detta en viktig aspekt av informationssäkerhetsarbete då ett sunt förnuft i kombination av att faktiskt använda ledningssystemet kan förebygga majoriteten av riskerna som tidigare nämnts. Vidareutveckling av systemet pågår konstant och bör vara en återkommande uppgift.

Innan Certifiering

Organisationen måste ha ett ledningssystem som uppfyller SS-ISO/IEC 27001 kraven. Systemet är en naturlig del av organisationens dagliga verksamhet. Ledningssystemet är väldokumenterat utifrån organisationens förutsättningar. Ledningssystemet och beskrivning underhålls löpande och uppdateras när förändringar görs.

Certifiering

Dags för certifiering! Certifiering i Sverige utförs av diverse certifieringsorgan och baseras på den svenska SS-ISO/IEC 27001 standarden som är framtagen av Svenska Institutet för Standarder (SIS).

Läs mer

Verksamheten blir granskad mot kraven i ISO 27000 av ett ackrediterat certifieringsorgan och får därefter om godkända sin certifiering.

Grattis! Ni har nu klarat av certifiering!

Efter Certifiering

Efter att certifieringen är uppnådd så gäller det att konstant följa upp hur ledningssystemet utvecklas och uppdatera efter behov. Detta för att säkerställa så att ni aktivt fortsätter att jobba med säker informationshantering även efter en certifiering.

Läs mer

Certifieringen i sig är inget vaccin mot attacker utan en stämpel för att ni utför ett gediget arbete med informationshanteringen på företaget. Det är därför väldigt viktigt att undvika de vanliga fallgroparna.

Man bör även regelbundet uppdatera sin certifiering då SS-ISO/IEC 27001 uppdateras allt eftersom tekniken utvecklas.

Vanliga fallgropar

Brist på engagemang från ledningen kan leda till att hela ledningssystemet tappar sin slagkraft.
Saknas interna resurser för genomförandet.
Processägare saknas resurser och mandat att driva och förbättra processerna.
Antal delaktiga i projektet är inte tillräckligt.
Certifikatet viktigare än systemet, om systemet inte upprätthålls och används tjänar inte certifikatet sitt syfte.
För mycket/lite dokumentation.
Otydliga eller motsägelsefulla mål.
Att inte jobba med säkerhet överhuvudtaget då detta kan resultera i olika typer av förluster för företaget.

Känns det fortfarande svårt och komplext?

ISO 27001-certifieringen kan vara en stor omställning och vi på Secify hjälper mer än gärna er på vägen. Hör gärna av er om ni vill tala med erfarna experter inom området.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Duración	Descripción
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
_zcsr_tmp		Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes

Cookie	Duración	Descripción
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Duración	Descripción
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gcl_au		Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bcookie		LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
lidc		LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
UserMatchHistory		LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.

Cookie	Duración	Descripción
50878ba340	session	No description
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.