Sådan effektiviserer du arbejdet med informationssikkerhed ved hjælp af ISMS

Daniel Andersson Senior Information Security Consultant, Cegal Sverige. Daniel har stor erfaring med informationssikkerhed og er Certified Information Security Manager (CISM) samt certificeret Cybersecurity Practitioner (CSX-P). Med en baggrund inden for både teknologi og ledelse har Daniel et bredt blik på nutidens udfordringer og deres forskellige løsninger.

11/14/2023 |

Alle virksomheder har information, der skal beskyttes, samtidig med at de eksterne trusler øges både i antal og i deres indvirkning. Omkostningerne til cybersikkerhed kan let løbe løbsk, hvis styringen af informationssikkerhed ikke er effektiv.

Information Security Management System (ISMS) beskriver, hvordan jeres virksomhed skal arbejde struktureret inden for området informationssikkerhed, med udgangspunkt i informationssikkerhedspolitikken. At have et velfungerende ledelsessystem på plads lader dig arbejde struktureret med informationssikkerhedsspørgsmål og foretage de rigtige prioriteringer for jeres virksomhed

Etabler Information Security Management System (ISMS)

Ved etableringen af ISMS er omfang og strategi det første, I bør overveje. For eksempel kan det i en større organisation være sådan, at ISMS, i første omgang kun skal etableres for visse dele af koncernen. Hvad angår strategi, handler det dels om at vurdere behovet for at få ekstern hjælp i arbejdet, men også valg af rammeværk samt den ønskede hastighed for implementeringen.

Hvis andre ledelsessystemer, f.eks. for kvalitet, miljø eller andre områder, allerede er etableret, er det vigtigt at sikre, at ISMS harmonerer med de øvrige ledelsessystemer, både hvad angår format og indhold. For eksempel må der ikke være krav i et ledelsessystem, som gør det umuligt at overholde et krav i et af de andre ledelsessystemer.

Rammeværk - Information Security Management System (ISMS)

Der findes mange etablerede rammeværker, som man kan basere sit ISMS på, herunder bl.a. ISO 27000-serien, NIST SP 800-serien og COBIT. Hvis man primært opererer i Europa, er det mest udbredt at basere rammeværket på ISO 27000-serien.

Niveauerne i Information Security Management System (ISMS)

Vi hos Cegal ser, at ISMS består af flere niveauer, hvor det er mest effektivt at oprette sit ISMS med en klar rækkefølge.

LIS_nivåer

Dokumentstrukturen i ISMS

Informationssikkerhedspolitikken beskriver primært retningen og ansvaret for arbejdet med informationssikkerhed. Det skal være skrevet på en måde, hvor hele organisationen kan forstå indholdet.

Identifikation af informationselementer og aktuelle risici i en tidlig fase gør det muligt at prioritere, hvilke områder inden for arbejdet med informationssikkerhed, der skal prioriteres, når regler, retningslinjer og instruktioner udarbejdes.

Information Security Management System (ISMS) og jeres organisation

Selvom det er vigtigt at arbejde på at udvikle et ISMS, vil det ikke i sig selv resultere i højere informationssikkerhed. Et af de vigtigste trin er at sikre, at organisationen arbejder i overensstemmelse med det, der er bestemt i ISMS. Det er ofte en forandringsrejse, der kræver indsats både fra den ansvarlige for informationssikkerhed og resten organisationen. For nogle kan det handle om at ændre eksisterende arbejdsmetoder for at leve op til organisationens krav til informationssikkerhed.

Cegal og Informationssikkerhed

Gennem vores tjeneste Cyber Security Assessment hjælper vi jer med at identificere jeres nuværende position i arbejdet med informationssikkerhed samt hvad det næste skridt bør være. Vi hjælper vores kunder med etablering af ISMS, både med helhedsansvar og som ekspertstøtte inden for specifikke områder.