Svaret är enkelt. Man ser framför sig en enorm byråkrati som ska upprätthållas. Dokument som ska skrivas och förvaltas. Möten och workshops för att komma fram till självklarheter. Drivor av icke-förvaltningsbara excelark för uppföljning. Detaljstyrning. Säkert finns det även en rädsla för att dra på sig åtaganden som kostar mer än de smakar.
Tyvärr blir det också oftast så. Alla vet det. Informationssäkerhetsvärlden lider av ineffektiva metoder. Det blir extra tydligt när man jämför med hur ekonomer eller logistiker styr och följer upp sina verksamheter. De skulle aldrig drömma om att arbeta dokument- och mötescentrerat. Men varför har inte organisationer en liknande lösning för sitt säkerhetsarbete?
Detta har vi inspirerats av och skapat en lösning som vi kallar för ISO27K som i en liten ask. Kort förklarat är det en hjälp på vägen för att du och din organisation enkelt ska nå fram till en ISO27K-certifiering. Lösningen är en kombination av verktyg, metoder och angreppssätt som på ett enkelt sätt tar er igenom hela processen och hjälper er förvalta resultatet.
Processen för ISO27K som i en liten ask präglas av några grundläggande principer:
Det är mer effektivt att bygga utifrån verksamhetens behov
Det finns krav på olika dokument i ISO27K. Det ska exempelvis finnas en säkerhetspolicy, en policy för mobila enheter och en krypteringspolicy, för att bara nämna några. Det är allt som oftast mer effektivt att ändra existerande dokument till att passa verksamheten, än att skapa dem från grunden. För att det ska vara så effektivt som möjligt så ingår dessa dokument i ISO27K som i en liten ask.
Riskanalyser ska göras med kunskap om nuläget
Man spiller tid om man riskanalyserar en situation som inte kan uppstå. Riskanalyser blir bättre, spetsigare och mer relevanta om de tar utgångspunkt i den faktiska verkligheten.
Metoderna för ISO27K som i en liten ask präglas av:
Ett agilt arbetssätt
Det finns mängder av skräckexempel där framtagandet av säkerhetspolicyn tagit över projektet, så att det till slut varken finns tid eller budget kvar för att faktiskt åtgärda något konkret. Med ett agilt arbetssätt kan man i ett tidigt skede inventera verksamhetens säkerhetsstatus i en kärna av ”självklara” krav. Då undviker man tråkiga överraskningar och kan påbörja åtgärder tidigt i processen.
Effektiv användning av ledningens tid
Den mest begränsade resursen i de flesta verksamheter är tillgänglig tid hos ledningen. ISO27K-standarden kräver dock att ledningen ska styra och följa upp säkerhetsarbetet. För att underlätta för din organisation har vi utformat ett färdigt upplägg för att pricka av dessa krav och skapa effektiva, standardiserade ledningsövningar. Några större möten för styrning och däremellan mindre möten för uppföljning. Underlagen kommer i hög grad från det effektiva verktyg som tas med in i uppdraget.
I ISO27K som i en liten ask inkluderas också verktyg som underlättar certiferingsarbetet.
Verktyg för smidig och enkel regelefterlevnad
För att underlätta certifieringsarbetet, minimera möten, ställtider, schemaläggningar, snabba förändringar i regelverk eller kommunikation med olika interna målgrupper så krävs solida verktyg. Det ska vara enkelt att identifiera både verksamhetsgemensamma problemområden eller problematiska verksamhetsområden. Med stöd från verktyget Governance Platform kan din organisation snabbt etablera en dubbelriktad kommunikation kring säkerhetskrav.
Verktyg för transparens och tydlighet
Med ett smidigt ärendehanteringssystem för att hantera certifieringens alla delar, får ni en transparent och tydlighet. Obesvarade epostmeddelanden, missuppfattade deadlines eller oklara leveransansvar existerar inte om ni har rätt verktyg på rätt plats.
Sammantaget innebär ISO27K som i en liten ask att ni följer en förutsägbar process. Hur mycket arbete som krävs för att komma i mål med certifieringen beror naturligtvis på er organisations ambition och er nuvarande säkerhetsmognad. Om ni vill få ordning på ert säkerhetsarbete och till och med kunna uppnå en certifiering, så har vi funnit att det här är den mest effektiva vägen dit.
Känner du dig fortfarande osäker? Då rekommenderar jag att du läser min kollegas inlägg om varför du ska ISO/IEC 27001-certifiera din organisation.