Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida

Ledningssystem för informationssäkerhet

Standarderna i ISO 27000-serien har beteckningen Ledningssystem för informationssäkerhet och bildar grunden för att bedriva ett systematiskt informationssäkerhetsarbete i en organisation. Metodstödet för systematiskt informationssäkerhetsarbete utgår från standarderna i denna serie.

ISO 27000-serien

Standarderna i ISO 27000-serien är framtagna av internationella expertgrupper inom ISO/ IEC (International Organization for Standardization/International Electrotechnical Commission) där Sverige medverkar genom SIS, (Swedish Standards Institute). SIS deltar aktivt i det internationella arbetet i såväl ISO/IEC som på europeisk nivå inom CEN-CENELEC (European Committee for Standardization – European Committee for Electrotechnical Standardization).

ISO är det globala standardiseringsorganet med ca 160 medlemmar, från lika många länder. CEN är den europeiska standardiseringsorganisationen med 30 medlemsnationer. Den svenska kompetensen inom området är organiserat i SIS Tekniska kommitté TK 318 Informationssäkerhet.

ISO 27000-serien omfattar ett hundratal standarder, några av de mest centrala standarderna presenteras nedan.

Det finns fem ISO-standarder inom Ledningssystem för informationssäkerhet och de brukar kallas 27000-serien efter sin sifferbeteckning.

SS-EN ISO/IEC 27000 Ledningssystem för informationssäkerhet – Översikt och terminologi

SS-ISO/IEC 27000 ger en överblick över tillhörande standarder och definierar relevanta termer.

SS-EN ISO/IEC 27001 Ledningssystem för informationssäkerhet – Krav

SS-EN ISO/IEC 27001 anger vad som krävs för att införa ett ledningssystem för informationssäkerhet. Bland kraven återfinns bland annat:

  • Informationssäkerhet
  • Organisation för informationssäkerhet
  • Ledningens engagemang
  • Planering och styrning av informationssäkerhet
  • Riskhantering
  • Uppföljning
  • Ständiga förbättringar

SS-EN ISO/IEC 27002 Riktlinjer för informationssäkerhetsåtgärder

SS-EN ISO/IEC 27002 innehåller åtgärder för att stärka och bibehålla informationssäkerheten i en organisation.

SS-ISO/IEC 27003 Vägledning

SS-ISO/IEC 27003 ger hjälp i att tolka vad de olika kraven i SS-EN ISO/IEC 27001 innebär.

SS-ISO/IEC 27004 Styrning av informationssäkerhet - Mätning

SS-ISO/IEC 27004 ger vägledning om utvecklingen och användningen av mätningar för att bedöma effekten av ett ledningssystem för informationssäkerhet.

SS-ISO/IEC 27005 Riskhantering för informationssäkerhet

SS-ISO/IEC 27005 innehåller riktlinjer för hantering av informationssäkerhetsrisker. Standarden stödjer de allmänna koncept som specificeras i SS-EN ISO/IEC 27001 och SS ISO 31000 Riskhantering – Vägledning.

Certifiering av ledningssystem

Certifiering av ledningssystem för informationssäkerhet sker mot standarden SS-EN ISO/IEC 27001. Liksom SS-EN ISO 9001 och SS-EN ISO 14001 är detta en standard för ledningssystem. Standarden är användbar för alla typer av organisationer oavsett typ, storlek och slag.

Läs mer om certifiering i Swedacs informationsskrift

Uppgifter om vilka företag som är certifierade finns på respektive certifieringsorgans webbplats och på www.certifiering.nu

Stöd & Vägledning

Publicerad: 2019-02-21
Uppdaterad: 2019-02-21
Skribent: Kristina Starkerud
Innehållsansvarig: Kristina Starkerud