Allt informationssäkerhetsarbete värt namnet kräver systematik. Ett ledningssystem för informationssäkerhet (LIS) kan hjälpa en organisation att uppnå just detta. Hur då? Det är just det vi svarar på i det här blogginlägget.
Hur LIS och systematiskt arbete hänger ihop
Ett ledningssystem för informationssäkerhet är en beskrivning över de processer ni som organisation arbetar efter för att uppnå informationssäkerhet. Beskrivningen ska innehålla vad ni som organisation ska göra och hur ni ämnar följa upp det. Det fungerar helt enkelt som ett stöd för de som förväntas leda arbetet kring informationssäkerhet. Ett stöd för att uppnå det yttersta syftet (som är detsamma för allt informationssäkerhetsarbete) – att säkerställa informationens konfidentialitet, riktighet och tillgänglighet (KRT).
För att arbeta systematiskt med er informationssäkerhet ska ni arbeta förebyggande och kontinuerligt anpassa skyddet utifrån organisationens behov och risker. För att kunna arbeta förebyggande och proaktivt behöver ni ha en struktur att utgå från. En struktur som med fördel beskrivs i ett LIS.
Saknar ni denna struktur blir det lätt ad-hoc och projekt-insatser som präglar ert informationssäkerhetsarbete. Då blir det svårt att nå rätt effekt med informationssäkerhetsarbetet, det vill säga att insatser som görs ska vara förebyggande och göra organisationen i fråga mer robust och motståndskraftig över tid.
LIS hjälper till att styra hur ni ska arbeta
Om målet är att säkerställa informationens KRT – hur ska ni ta er dit? Ett LIS kan agera som den karta ni som organisation använder er av för att lösa ut hur:et.
När ni vet hur ni ska jobba, underlättar det också er kommunikation med verksamheten. Dessutom kan ni förhindra avbrott i ert systematiska informationssäkerhetsarbete. Med ett ledningssystem för informationssäkerhet blir det nämligen enklare för verksamheten att ta vidare ett arv om exempelvis den CISO som etablerat ledningssystemet slutar. Då finns modellerna beskrivna och ni slipper börja om från ruta ett. Förhoppningsvis är arbetssätten dessutom redan levande mekanismer i er organisation där fler i verksamheten känner ansvar i frågan.
Allt detta bäddar för ett systematiskt och kontinuerligt informationssäkerhetsarbete.
Säkerställer förankring i rätt led
I ett LIS ingår det att tydliggöra involverade parters ansvar i informationssäkerhetsarbetet. Både ledningens engagemang, men också vilken övrig organisation ni har kring ert arbete. Jobbar ni igenom just den här punkten på ett bra sätt så etablerar ni ert LIS i verksamheten. Det här kräver dock att ni verkligen jobbar med förankringen, så att alla involverade delar samma bild av vem som ansvarar för vad.
Gör er riktigt bra på uppföljning
Om ni följer den modell som finns i ISO27000-serien så har ni också jobbat fram hur er uppföljning och era ständiga förbättringar ska ske. Ert första LIS kommer förmodligen inte bli den slutliga versionen. Det finns alltid rum för förbättring längs vägen gångs. Dels behöver ni göra uppföljning på era genomförda aktiviteter – exempelvis era riskanalyser. Men ni behöver även ställa er frågor kring helheten “Får det här arbetet rätt effekt?”. Om ni har en genomtänkt och genomförbar plan för uppföljning och blir riktigt bra på det – då bidrar ert LIS på riktigt till er systematik.
Effektiv uppföljning av LIS
För att modellerna ni tagit fram i ert LIS ska följas krävs enkla samarbetsytor och ett smidigt sätt att följa upp ert arbete. I Security kan ni skapa tydlighet i hur riskanalyser och informationsklassningar ska genomföras och ni har dessutom stöd för uppföljning med ansvarstilldelning och påminnelser. Allt för att ni ska få en så effektiv uppföljning av hur ert LIS efterlevs som möjligt. Boka gärna en visning med oss för att se hur vi kan effektivisera just er uppföljning av LIS.
För fler tips kring LIS läs gärna Införande av ledningssystem för informationssäkerhet (LIS) – 3 vanliga fallgropar.
Om du har frågor eller kommentarer gällande blogginlägget, kontakta Filip Gårdelöv på [email protected].
