Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida

Ledningssystem för informationssäkerhet

Standarderna i ISO 27000-serien har beteckningen Ledningssystem för informationssäkerhet och bildar grunden för att bedriva ett systematsikt informationssäkerhetsarbete i en organisation. Metodstöd för LIS utgår från standarderna i denna serie.

ISO 27000-serien

Standarderna i ISO 27000-serien är framtagna av internationella expertgrupper inom ISO och IEC där Sverige medverkar genom SIS, Swedish Standards Institute. SIS deltar aktivt i det internationella arbetet i såväl ISO som CEN.

ISO är det globala standardiseringsorganet med ca 160 medlemmar, från lika många länder. CEN är den europeiska standardiseringsorganisationen med 30 medlemsnationer. Den svenska kompetensen inom området är organiserat i SIS Tekniska kommitté TK 318 Informationssäkerhet.

ISO 27000-serien omfattar fem standarder, som presenteras nedan.

SS-ISO/IEC 27000 Ledningssystem för informationssäkerhet – Översikt och terminologi

ISO 27000-serien ger ett strukturerat och effektivt arbetssätt för verksamheter som strävar efter förbättrad intern kontroll över informationssäkerheten. SS-ISO/IEC 27000 ger en överblick över tillhörande standarder, definierar relevanta termer samt introducerar PDCA (Plan-Do-Check-Act) cykeln.

SS-ISO/IEC 27001 Ledningssystem för informationssäkerhet – Krav

SS-ISO/IEC 27001 anger de åtgärder och krav en verksamhet bör följa för att införa ett ledningssystem inom informationssäkerhet. Man får veta hur man:

  • Upprättar policy, mål, processer och rutiner som är relevanta för riskhantering och förbättring av informationssäkerhet.
  • Inför och driver policy, åtgärder och rutiner
  • Följer upp, övervakar och granskar
  • Underhåller och ständigt förbättrar

SS-ISO/IEC 27002 Riktlinjer för styrning av informationssäkerhet

SS-ISO/IEC 27002 (tidigare SS-ISO/IEC 17799) hjälper verksamheter att införa de krav som anges i SS-ISO/IEC 27001. Standarden anger riktlinjer och allmänna principer för att initiera, införa, bibehålla och förbättra styrningen av informationssäkerhet i en organisation.

SS-ISO/IEC 27003 Vägledning för införande av ledningssystem för informationssäkerhet

För införande av Ledningssystem för informationssäkerhet (LIS) rekommenderas standarden SS-ISO/IEC 27003. Standarden fokuserar på de kritiska aspekter som är nödvändiga för framgångsrik utformning och införande av ett ledningssystem för informationssäkerhet i enlighet med SS-ISO/IEC 27001.

Den beskriver processen för specificering och utformning av ledningssystemet från inledningen till produktion av införandeplaner samt processen för att erhålla ledningens godkännande, definierar ett projekt för införande och ger riktlinjer för hur projektet bör planeras.

SS-ISO/IEC 27004 Vägledning för mätning av informationssäkerhet

SS-ISO/IEC 27004 ger vägledning om utvecklingen och användningen av mätningar för att bedöma effekten av införandes av ett ledningssystem för informationssäkerhet samt skyddsåtgärderna enligt SS-ISO/IEC 27001.

SS-ISO/IEC 27005 Riskhantering för informationssäkerhet

SS-ISO/IEC 27005 innehåller riktlinjer för hantering av informationssäkerhetsrisker. Standarden stödjer de allmänna koncept som specificeras i SS-ISO/IEC 27001 och den är utformad för att stödja ett lyckat införande av informationssäkerhet med utgångspunkt från riskhantering.

Certifiering av ledningssystem

Certifiering av ledningssystem för informationssäkerhet sker mot standarden SS-ISO/IEC 27001. Liksom SS-EN ISO 9001 och SS-EN ISO 14001 är detta en standard för ledningssystem. Standarden tillämpas framförallt av organisationer som hanterar stora mängder känslig och värdefull information.

Hälso- och sjukvårdssektorn, finansiella sektorn och företag med konstruktion och utveckling är exempel på målgrupper där det finns behov att skydda organisationens informationstillgångar och att säkerställa en verksamhet i kontinuitet med marknadens och myndigheternas förtroende.


Läs mer om certifiering i Swedacs informationsskrift: Om certifiering - och hur du upphandlar certifiering

Uppgifter om vilka företag som är certifierade finns på respektive certifieringsorgans webbplats och på www.certifiering.nu

Publicerad: 2013-10-31
Uppdaterad: 2015-09-04
Skribent: Kjell Kalmelid
Innehållsansvarig: Kjell Kalmelid