Information Security Management System, eller bare ISMS, beskriver hvordan en organisasjon har besluttet å beskytte sin informasjon på en systematisk og sikker måte.
Med stadig mer komplekse IT-løsninger hvor alt skal være tilknyttet internett, samtidig som effektive hacking-metoder er lett tilgjengelige og enkle å ta i bruk, har behovet for ISMS aldri vært større. Det er nemlig ikke et spørsmål om man blir utsatt for et cyber angrep, men når det vil skje.
I stedet for å drive brannslukking og håndtere sikkerhetshendelser når de inntreffer, er hensikten med et ISMS å beskrive et rammeverk av krav, prosesser og kontroller som organisasjonen skal etterleve. En prosessdrevet organisasjon som flytter fokus fra reaktiv til proaktiv sikring, vil oppleve færre uønskede hendelser, i tillegg til å være mindre avhengig av enkeltpersoner når hendelser først skjer.
Sikkerhet er ikke lenger bare noe som IT-avdelingen har ansvar for. For at ISMS skal fungere hensiktsmessig, er det helt avgjørende at systemet er godt forankret i toppledelsen, og at hele organisasjonen forstår og etterlever ISMS. Med oppmerksomme ansatte, gode prosesser og kontroller, i tillegg til oppdatert utstyr og programvare, vil organisasjonen har god beskyttelse mot cyber angrep.
Det finnes flere internasjonale standarder for ISMS, og den best kjente er ISO 27001. Når ISMS tilfredsstiller kravene i ISO 27001, og ISMS etterleves av organisasjonen, er det bygget en solid metodikk for informasjonssikring. For å bevise at ISMS tilfredsstiller kravene i ISO 27001, kan organisasjonen erverve ISO 27001 sertifisering gjennom autorisert revisor.
Informasjon er den nye oljen. Det økende informasjonsvolumet, og dets kritikkverdighet for virksomheten, kombinert med et utvidet trussel landskap skaper behov for mer fokus på informasjonssikkerhet.
Informasjonssikkerhetsstyringssystemet er grunnlaget for systematisk og strukturert ledelse i søken etter å beskytte informasjonsressurser. Fokus er normalt å sikre beskyttelse mot eksterne (og for den saks skyld interne) trusler og overgrep. Men det er også viktig for å styrke forholdet til andre organisasjoner, f.eks. kunder og interessenter som stoler på din evne til å beskytte informasjonsressurser.
En ISMS kan være obligatorisk, men kan også deg med å overholde lover og forskrifter (f.eks. GDPR, PCI DSS, etc.). Du kan også skape konkurransefortrinn ved å oppnå en sertifisering i for eksempel ISO 27001 eller SOC 2.
Cegal og ISMSÅ ha en ISMS har nok aldri vært så aktuelt som i dag. Cegal har lang erfaring med både design og implementering av et ISMS og kan hjelpe deg med å nå sertifiseringsmålet ditt. Våre konsulenter er ISO-sertifisert og vil samarbeide med deg for å sikre for eksempel at ISO 27001-rammeverket etableres med minimal friksjon og maksimal verdi.
Cegal’s konsulenttjenester er fleksible, og våre konsulenter kan gi veiledning og kunnskapsoverføring på tvers av enten hele livssyklusen eller innen spesifikke områder. Vi kan gi deg en ‘Cyber Security Manager-as-a-Service’ til en fast pris. Vi kan også gi støtte til å skrive retningslinjer og prosedyrer for å lage et ISMS og gi råd om hvordan du iverksetter sikkerhetskontroller for å redusere risiko til et akseptabelt nivå. Vi kan bistå med bevissthet, utdanning og overholdelse av lov- og forskriftskrav. Støtte vil bli skreddersydd til dine spesifikke krav, avhengig av tilgjengeligheten til din interne ekspertise og gjeldende informasjonssikkerhetsnivå, samt tidsplaner og budsjetter.
Trenger du hjelp til å opprette, validere eller oppdatere ISMS-en din? Bruk kontaktskjemaet på denne siden, så hjelper vi deg med å maksimere produksjonen din og øke nivået på informasjonssikkerhetsstyringen din.