Med ISO 27001 lägger ni grunden för informations- och cybersäkerhet
Med ISO 27001 lägger ni grunden för informations- och cybersäkerhet
Informations- och cybersäkerhet är i dag en stor samhällsutmaning som påverkar såväl privata som offentliga organisationer. I takt med att cyberhoten ökar så växer nu även kraven på effektiv informations- och cybersäkerhet från lagstiftare och tillsynsmyndigheter. Exempel på detta är NIS-direktivet, GDPR och den nya säkerhetsskyddslag som börjar gälla våren 2019.
Vad är ISO 27001?
Det finns flera standarder för informations- och cybersäkerhet, bland annat ISO 27000-serien och där ISO 27001 är en viktig del. ISO 27001 fastställer de krav som en organisation behöver uppfylla när det gäller ledningssystem för informationssäkerhet. Standarden är certifierbar och 2018 kom en uppdaterad version. Idag är ISO 27001 den mest använda standarden för ledningssystem när det gäller informationssäkerhet och används i många länder som referensram av lagstiftare och tillsynsmyndigheter.
"ISO 27001 är den mest använda standarden för ledningssystemet när det gäller informationssäkerhet och används i många länder som referensram av lagstiftare och myndigheter."
Vad behöver ni göra?
Oavsett om ni är en privat eller offentlig aktör och oavsett storlek, så behöver ni ett robust ledningssystem för informations- och cybersäkerhet. Här är en standard som ISO 27001 en grundpelare för att kunna identifiera, beskriva, införa och till sist förvalta och utvärdera informations- och cybersäkerhetsförmågan.
Steg ett är att förstå vilka informations- och cybersäkerhetskrav som verksamheten står inför, från affärsstrategier och regelkrav till de interna- och externa hotbilderna. Sedan behöver organisationen utvärdera hur väl den står sig mot en etablerad standard, såsom ISO 27001 genom en så kallad gapanalys. Därefter behöver ni säkerställa att organisation kan införa, förvalta och utvärdera de åtgärder som krävs för att minska informations- och cybersäkerhetsriskerna. I ett effektivt ledningssystem blir verksamheten uppdaterad och kan löpande hantera händelser och incidenter. Dessutom är det viktigt att ni kan beskriva för ledningen, styrelsen, tillsynsmyndigheten och kunden hur arbetet genomförs och utvecklas.
Vad kan vi hjälpa er med?
Vi på PwC har specialistkompetens inom ledningssystem för informations- och cybersäkerhet inklusive ISO 27001. Med vårt stöd kan ni ta steget från reaktivt fokus på efterlevnad till proaktivt värdeskapande. Den unika kombinationen av närhet till den lokala marknaden och expertis via PwC:s globala nätverk, gör att vi kan bidra till en informations- och cybersäkerhet som är verksamhetsanpassad och förankrad i etablerade standarder.
Här är exempel på vad vi hjälper våra kunder med när det gäller ISO 27001:
- Genomföra gapanalyser
- Genomföra omvärlds-, regelverks- och hotbildsanalyser som förtydligar och gör en gapanalys än mer relevant
- Granska organisationens roller och ansvar för informations- och cybersäkerhet
- Upprätta en färdplan som organisationen sedan kan införa på egen hand
- Genomföra risk- och sårbarhetsanalyser
- Granska, införa och genomföra arbete med informationsklassning
- Stöd vid förändringsarbete och införande av färdplanen som projektledare, projektledarstöd eller områdesspecialister
- Genomföra utbildning för ledning, verksamhet och it- respektive säkerhetsorganisation
- Förbereda för eventuell certifiering
Kontakta oss
