Skip to content
  • Det finns inga förslag eftersom sökfältet är tomt.

Vad är värdet av ett ISO 27001-certifikat?

Vad är värdet av ett ISO 27001-certifikat och kan man lita på att det innebär det man förväntar sig? Det beror framför allt på vad ditt mål är. Vill du bli bättre och säkrare? Vill du få en stämpel som underlättar affärer? Vill du veta om du kan lita på att din leverantör är säker? I det här blogginlägget delar jag några reflektioner efter att ha levt i symbios med ISO 27001 i ett decennium.

Vad är ISO27001?

För att förmedla vad värdet av ett certifikat är behöver man börja med vad ISO 27001 är.

ISO 27001 är en standard med krav på vad ett ledningssystem för informationssäkerhet ska innehålla. Kapitlen är pedagogiskt uppsatta så jag föredrar att betrakta det som en steg för steg-beskrivning, likt ett brädspel med pjäser där man tar steg för steg. Detta spel tillåter att man hoppar runt lite men mest effektivt enligt mina erfarenheter är att ta stegen i den skrivna ordningen, till dess att man har en plan för att införa säkerhetsåtgärder. Till detta finns en guide med förklaringar och stöd i ISO 27003.

Efter att ni passerat rutan Riskanalys finns en checklista med möjliga säkerhetsåtgärder att införa som man ska para ihop med sina risker. Listan bygger på kända risker och om man tycker riskanalys är svårt kan man titta på säkerhetsåtgärderna som en medicinlista och utifrån den känna efter om man ser symptom av de bakomliggande riskerna i sin verksamhet. Lite som när läkare sparar tid när de ber dig testa receptfri pollenmedicin mot vårsnuva.

Till detta finns instruktionsboken ISO 27002 med rekommendationer om hur man inför säkerhetsåtgärderna på bästa sätt med tips vad man bör utvärdera, riskbedöma och införa. Medicinerna kan med fördel tas parallellt och i grupper för att komma fortare till ett bättre läge.

Värdet av ISO 27001 är ett arbetssätt för att systematiskt arbeta igenom alla aspekter som kan gömma risker. De som inte arbetar systematiskt riskerar att någon omedveten person klickar på phisingmail eller att en hackare tar sig in via en opatchad bortglömd server. Ingen har missat exemplen i media och det finns företag som förlorat all sin information vilket är svårt att komma tillbaka efter.

 

Certifieringsprocessen

Bara för att man inför ISO 27001 behöver man inte genomföra en certifiering. Värdet av certifiering kan vara som besiktning av ett hus där en expert kan granska skick och ge tips som undviker dyra skador. Experten kan hjälpa dig minska risker genom att peka ut svagheter och möjliga åtgärder. En certifiering visar för kunder och samarbetspartners att man investerar i säkerhet på alla tillgängliga sätt och kan bygga förtroende för ditt företag och din produkt.

Till certifieringen finns en standard som revisorerna behöver förhålla sig till som sin regelbok. Revisorerna har olika bakgrund och erfarenhet och granskas både av det egna certifieringsorganet som i sin tur granskas av ett ackrediteringsorgan.

Förhoppningsvis märker alla revisorer om du helt missat vissa bärande väggar i ditt hus men en duktig revisor kan hjälpa dig hitta saker som du själv missat. Precis som i bilkörning är en av de största riskerna döda vinkeln, dvs det du inte sett eller förutsett, vilket en extern part utanför bilen kan hjälpa dig se.

Själva revisionerna innebär kontroller av hela standardens omfång under en treårsperiod med visst antal stipulerade dagar som ska läggas på kontroll av organisationen på plats. Arbetet går till genom att revisorn gör stickprover och ber att få se den röda tråden från riskanalys, riktlinjer ner till att verksamheten följer riktlinjerna och kan visa bevis. Allt som visas kontrolleras mot standardens krav och verksamhetens krav och risker.

Val av revisor

När jag jobbade på ett produktbolag som Informationssäkerhetschef blev vi rekommenderade ett svenskt revisionsbolag.

Revisorn var väldigt petig och kändes lite som en småskolefröken med läsläxan; ”läs meningen igen och läs vad det står noga”. Han retade gallfeber på mig med dessa ord gång på gång men precis som min småskolefröken lyckades han öppna mina ögon för en magisk värld med en passion för texten. Numera brinner jag för texten i både ISO 27001 och ISO 27002 och alla hjälpsamma tips i dessa. Jag har lärt mig ofantligt mycket av de revisorer jag har mött och texterna innehåller så mycket tips och hjälp som förmedlats från experter.

När vi satt och gick igenom revisorns påpekanden hade vi dialog mellan avdelningar och länder inom bolaget och märkte att de utländska revisorerna hos oss var mycket mer förlåtande. Vid samtal med vår revisor fick vi höra att de upplevt samma sak och anmält att vissa utländska revisorer inte tolkade avvikelser på samma sätt.

Efter att ha hjälpt fler verksamheter och träffat flera revisorer så är min upplevda erfarenhet att vissa är mer bokstavstrogna medan andra är mer frikostiga med godkännanden. Svenska ackrediteringsorganet verkar enligt vad jag hört vara hårdare och därmed revisorerna mer nitiska.

Om målet är att bli säkrare och försöka göra sig motståndskraftig mot cyberattacker har man mer nytta av en ”småskollärare” än en revisor som tittar mellan fingrarna, så jag rekommenderar att man tar in rekommendationer för att hitta en bra revisor. Se till att få ut det bästa av den tiden ni ändå måste sitta med revisorn.

Det finns de som för att göra det lättare i stunden väljer en skola som är känd för att vara lite slappa och sätta höga betyg men det brukar straffa sig senare i livet när man kommer till universitet. Samma björntjänst kan val av revisor visa sig vara.
 

Kontroll av leverantör

Om man som kund vill försäkra sig om att sin leverantör är säker är ett certifikat ett mycket bra bevis på att leverantören valt att investera i sin säkerhet. De har ju valt att köpa tid av en revisor.

Bara av att se certifikatet vet man dock inte hur nitisk revisorn varit, bara att han varit många dagar hos organisationen.

En rekommendation är att be att få ta del av certifikatet, uttalandet om tillämplighet och deras informationssäkerhetspolicy samt ställa några frågor. Certifikatet berättar vilket bolag som genomfört revisionen och de andra dokumenten kan ge en känsla för noggrannheten i arbetet.

Det viktigaste att kontrollera är omfattning av ledningssystem och certifikat. Gäller certifikatet för det affärsområde och den plats ditt köp gäller, vilket kan utläsas på certifikatet.

Uttalandet om tillämplighet, även kallad SOA, är medicinlistan och ska enligt standarden innehålla argument för vilka mediciner som ingår och varför. Det ska också finnas en notering om hur långt man kommit i sin behandlingsplan.

Att ställa några egna stickprovsfrågor kan vittna om organisationens sjukdomsinsikt eller om de är omedvetna om vanliga risker. Har de gjort arbetet ordentligt kan de lätt svara på frågor inom informationssäkerhet vilket är en bra mätare för säkerhetskulturen.

Eftersom ISO 27001 ställer krav på kontinuerliga förbättringar så ökar kraven år för år som man är certifierad. De bokstavstrogna svenska revisorer jag mött hävdar att kraven för att argumentera att man INTE gör som i ISO 27001/ISO 27002 är högre än att man gör det eftersom du måste bevisa att du är säker trots att du inte gör som alla andra.

 

Som leverantör

Om du har ett certifikat och jobbat igenom hela spelplanen och hela medicinlistan har du lättare att både svara på kundernas frågor och att få deras förtroende. Värdet av ett certifikat för en leverantör är många gånger mindre administration i offerter och fler affärer.

Och har du anlitat en av de bokstavstroende revisorerna så kommer hen att gå runt i dina lokaler och be att få se risken som är dokumenterad bakom val av dörr och hur du tänkt kring det ena och det andra. Varje gång lovar jag att du kommer lära dig något nytt och ni kommer bli ännu bättre och säkrare.

Du kommer aldrig själv hitta alla döda vinklar så att ta in extra ögon externt i form av konsulter och revisorer kommer alltid minska dina okända risker!

Med all kärlek till de bokstavstrogna småskolefrökne-liknande revisorer som passerat i mitt liv! Jag önskar er alla petiga, älskvärda revisorer!

Relaterade inlägg