Det är lätt att tänka att ens organisation nog skulle behöva tredjepartscertifiera sig mot ISO 27001. Men det är absolut väl värt att noggrant analysera om det behövs eller inte.
Den nuvarande versionen av ISO 27001 släpptes under 2013, då var certifiering inom informationssäkerhet på nära nog var mans läppar inom IT-branchen. I början var det få som var certifierade och de som var det tillskrevs närmast magiska egenskaper. Men under åren som gått så har värdet av en certifiering devalverats gradvis för att idag mest motsvara ett körkort. Det är en hygienfaktor i de fall organisationen till exempel levererar IT-tjänster till företag och organisationer.
Det kan finnas en uppsjö av anledningar till att arbeta strukturerat med informationssäkerhet enligt ISO 27001. Din organisation kanske levererar IT-tjänster till andra organisationer? Kanske utvecklar ni system eller programvara där personuppgifter eller annan känslig information hanteras? Eller så har ni i organisationen hand om personuppgifter, kanske rentav känsliga också? Eller, inte minst, hanterar era egna företagshemligheter som det skulle vara katastrof om de kom på avvägar? Kort sagt, jag är övertygad om att de allra flesta organisationer skulle må bra av att arbeta strukturerat med informationssäkerhet.
Men certifiera sig?
Att certifiera sig mot ISO 27001 är i regel inte lätt. Det kommer att ta tid, vara dyrt, kräva ett sjuhelsikes engagemang och kosta en hel del pengar. Är det värt det? Det kan bara ni själva avgöra. Mitt råd är alltid att vänta med certifiering så länge som det bara går, men så snart det bara går påbörja arbetet att arbeta med inspiration av ISO 27001. De flesta IT-upphandlande organisationer har lärt sig att en leverantörs certifiering inte säger någonting om den faktiska säkerheten. På samma sätt som att just ett körkort inte säger någonting om hur innehavaren faktiskt framför sitt fordon en vanlig dag. Det går alldeles utmärkt att ha en tung högerfot och att strunta att stanna vid en stoppskylt – ända tills dess att polisen kommer på en.
Det står klart att man behöver mer än bara ett certifikat för att bevisa sig, exempel på åtgärder som jag oftare och oftare ser krav på är:
- Uttalande om hur man förhåller sig till andra ramverk, så som NIST SP 800-53 och CIS Controls.
- SOC 2 Type 2 rapport.
I körkortsjämförelsen skulle det handla om att tvinga bevisa sin körduglighet, och hur skulle det gå till? En SOC-2 Type 2 rapport innebär att en extern revisor gör minst två revisioner med minst sex månaders mellanrum. På så sätt kan revisorn inte bara se att man gör så som man utger sig för att göra, utan kan även se att man faktiskt fortsätter att göra det.
För att summera
Alla företag och organisationer hanterar information. Och sedan dataskyddsförordningen (GDPR) trädde i kraft hanterar dessutom de flesta organisationen information som faktiskt behöver skyddas enligt lag. Personuppgifter hanterar man bara genom att hantera anställda och kontakter hos sina kunder. Idag är dessutom immateriella tillgångar ofta en stor del av ett företags värde.
ISO 27001 är absolut den standard att arbeta med inspiration från. Inte nödvändigtvis helt enligt, men låt åtminstone inte arbetet med informationssäkerhet gå stick i stäv med standarden. Ta hjälp för att lägga upp en plan för att kunna dra bäst nytta av standarden. Information är och förblir en av er organisations viktigaste tillgångar. Ta väl hand om den!
