Informationssäkerhet (infosec) hänvisar till policyer, processer och verktyg utformade och distribuerade för att skydda känslig affärsinformation och datatillgångar från obehörig åtkomst. Det finns tre kärnaspekter av informationssäkerhet: konfidentialitet, integritet och tillgänglighet. Detta är känt som CIA-triaden.
Informationssäkerhet (infosec) hänvisar till policyer, processer och verktyg utformade och distribuerade för att skydda känslig affärsinformation och datatillgångar från obehörig åtkomst. Det finns tre kärnaspekter av informationssäkerhet: konfidentialitet, integritet och tillgänglighet. Detta är känt som CIA-triaden.
Infosecs policyer fastställer en lista över regler som anställda och andra intressenter (t.ex. leverantörer) ska följa där så är lämpligt. Detta inkluderar, men är inte begränsat till:
En skräddarsydd praktisk session utifrån dina behov och mål
Det är nästan ingen skillnad mellan en robust uppsättning infosec-policyer som inte följs, och att inte ha några infosec-policyer alls. Företag och organisationer behöver sina anställda för att förstå vad som krävs av dem. Alla anställda kommer att behöva visa sin medvetenhet och efterlevnad av relevanta informationssäkerhetspolicyer.
Det är den tilldelades ansvar Chief Information Security Officer (CISO) eller Information Security Manager (ISM) inom en organisation för att säkerställa att alla anställda och system följer reglerna i informationssäkerhetspolicyn.
Innan ett företag implementerar någon infosec-policy måste det definiera målen för både organisationen och policyn. Eventuella inkonsekvenser i ett infosec-ramverk kan göra informationssäkerhetspolicyn ineffektiv. Informationssäkerhetspolicyer måste regelbundet ses över och ändras av en organisation. Dessa förändringar måste återspegla alla förändringar i den organisationens risker, arbetsmetoder och nya teknologier, för att nämna några.
Detta kan åstadkommas genom att organisationen antar, anpassar och lägger till sin befintliga policydokumentation eller informationssäkerhet ledningssystem (ISMS). Detta gör att informationssäkerhetspolicyer kan hållas uppdaterade, förbli heltäckande, konsekventa och praktiska.
Väletablerade infosec-policyer låter alla intressenter och anställda förstå organisationens ramverk för informationssäkerhet. De viktigaste frågorna som en policy måste besvara är:
Dessa policyer visar också hur organisatoriska risker kan minskas. Dessa inkluderar att hjälpa till att:
Att upprätta ett ramverk för policyer är viktiga för din informationssäkerhet. Ett ramverk låter dig vidta åtgärder för att upprätthålla överensstämmelse. För att en informationssäkerhetspolicy ska bli framgångsrik måste den uppdateras som svar på eventuella ändringar i:
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
Off-the-shelf informationssäkerhetspolicyer är allmänt tillgängliga. En storlek passar dock inte alla. Olika organisationer och branscher har olika standarder och myndighetskrav. CISO måste beakta sin organisations rättsliga skyldigheter när de skapar eller antar policyer för informationssäkerhet. Om en organisation bara sysslar med offentliga data kommer den att ha en helt annan uppsättning regulatoriska krav än en statlig myndighet eller aktiebolag.
När en organisation åtar sig att vinna ISO 27001-certifiering, kommer den att behöva ange riktlinjer för sin informationssäkerhetspolicy. Detta görs genom att skapa en informationssäkerhetspolicy på toppnivå.
Informationssäkerhetspolicyn som en organisation skapar är drivkraften för den organisationens ISMS (hanteringssystem för informationssäkerhet). Den anger styrelsens policy och krav vad gäller informationssäkerhet. Det behöver bara vara ett kort dokument men måste vara i linje med organisationens värderingar. När man siktar på uppnå ISO 27001 certifiering måste ISMS också uppfylla kraven i standarden.
Policyförklaringen bör kräva att all personal deltar, samtidigt som man beaktar deltagandet av alla andra externa intressenter som har tillgång till organisationens information och system. När man överväger säkerhetspolicy, behöver styrelsen överväga hur det kommer att påverka verksamhetens intressenter, plus de fördelar och nackdelar som verksamheten kommer att uppleva som en följd av detta.
ISO 27001 kräver dig att identifiera dina informationsrisker, utvärdera och sedan minska dem till en acceptabel nivå genom att använda kontrollerna som finns i ditt ISMS. Detta kommer att förbättra din informationssäkerhetsställning, och även om det inte eliminerar möjlighet till intrång, det minskar sannolikheten för att ett intrång inträffar och/eller effekten av ett brott och ger dig processer att följa i händelse av ett.
En UKAS-ackrediterad ISO 27001-certifiering kommer att ge kunder, tillsynsmyndigheter och andra intressenter försäkran om att du hanterar informationssäkerheten effektivt. Det är den internationellt erkända best practice ISMS-standarden och ger dig ett ramverk att följa hantera alla informationstillgångar, inte bara personuppgifter för GDPR.
Många av de obligatoriska kraven för GDPR omfattas av ISO 27001, så du är redan ett stort steg mot att implementera det när du tar itu med efterlevnad. Uttryckt på ett annat sätt; om du redan är anpassad till ISO 27001-standarden är du också en viktig väg framåt för att uppnå GDPR-efterlevnad.
Syfte: Det är här organisationen anger sitt syfte med policyn och hur den planerar att göra det.
Omfattning: Organisationen definierar vad policyn kommer att omfatta, såsom nätverk, platser, användare och leverantörer.
Säkerhetsmål: Organisationen skapar väl definierade mål avseende säkerhet och strategi som ledningen kommit överens om.
Lagstiftning: Det är också viktigt att informationssäkerhetspolicyn innehåller hänvisningar till relevant lagstiftning eller certifiering som företaget arbetar inom eller mot, såsom ISO 27001-certifieringen.
Andra saker kan inkluderas i informationssäkerhetspolicyer. Dessa kan dock variera beroende på din organisation, dess aktiviteter och behov etc. För en fullständig lista över ISO 27001 bilagor och policyer, klicka här.
Ladda ner din gratis guide till snabb och hållbar certifiering
Vi behöver bara några detaljer så att vi kan maila dig din guide för att uppnå ISO 27001 första gången
Ladda ner din gratis guide nu och om du har några frågor alls då Boka en demo or Kontakta oss. Vi hjälper gärna till.
100 % av våra användare uppnår ISO 27001-certifiering första gången
Det finns många delar av informationssäkerhetspolicyn.
En CISO måste bestämma omfattningen av sin informationssäkerhetspolicy. Dessa inkluderar, men är inte begränsade till:
ISMS.online tillhandahåller alla bevis bakom informationssäkerhetspolicyerna som fungerar i praktiken och inkluderar en mall för informationssäkerhetspolicy på toppnivå för organisationer att anta, anpassa eller lägga till för att möta deras krav snabbt och enkelt.
Smakämnen ISMS.online-plattform inkluderar ett tillvägagångssätt för riskhantering. Det ger verktygen för att identifiera, bedöma, utvärdera och kontrollera informationsrelaterade risker genom att upprätta och underhålla ett ISMS enligt ISO 27001-standarden. Alternativt kan du också dra nytta av ISO 27001 Virtual Coach som erbjuder expertvägledning för var och en av ISO 27001 krav och kontroller.
