Information Security Management System (ISMS) beskriver, hvordan jeres virksomhed skal arbejde struktureret inden for området informationssikkerhed, med udgangspunkt i informationssikkerhedspolitikken. At have et velfungerende ledelsessystem på plads lader dig arbejde struktureret med informationssikkerhedsspørgsmål og foretage de rigtige prioriteringer for jeres virksomhed
Ved etableringen af ISMS er omfang og strategi det første, I bør overveje. For eksempel kan det i en større organisation være sådan, at ISMS, i første omgang kun skal etableres for visse dele af koncernen. Hvad angår strategi, handler det dels om at vurdere behovet for at få ekstern hjælp i arbejdet, men også valg af rammeværk samt den ønskede hastighed for implementeringen.
Hvis andre ledelsessystemer, f.eks. for kvalitet, miljø eller andre områder, allerede er etableret, er det vigtigt at sikre, at ISMS harmonerer med de øvrige ledelsessystemer, både hvad angår format og indhold. For eksempel må der ikke være krav i et ledelsessystem, som gør det umuligt at overholde et krav i et af de andre ledelsessystemer.
Der findes mange etablerede rammeværker, som man kan basere sit ISMS på, herunder bl.a. ISO 27000-serien, NIST SP 800-serien og COBIT. Hvis man primært opererer i Europa, er det mest udbredt at basere rammeværket på ISO 27000-serien.
Vi hos Cegal ser, at ISMS består af flere niveauer, hvor det er mest effektivt at oprette sit ISMS med en klar rækkefølge.
Informationssikkerhedspolitikken beskriver primært retningen og ansvaret for arbejdet med informationssikkerhed. Det skal være skrevet på en måde, hvor hele organisationen kan forstå indholdet.
Identifikation af informationselementer og aktuelle risici i en tidlig fase gør det muligt at prioritere, hvilke områder inden for arbejdet med informationssikkerhed, der skal prioriteres, når regler, retningslinjer og instruktioner udarbejdes.
Selvom det er vigtigt at arbejde på at udvikle et ISMS, vil det ikke i sig selv resultere i højere informationssikkerhed. Et af de vigtigste trin er at sikre, at organisationen arbejder i overensstemmelse med det, der er bestemt i ISMS. Det er ofte en forandringsrejse, der kræver indsats både fra den ansvarlige for informationssikkerhed og resten organisationen. For nogle kan det handle om at ændre eksisterende arbejdsmetoder for at leve op til organisationens krav til informationssikkerhed.
Gennem vores tjeneste Cyber Security Assessment hjælper vi jer med at identificere jeres nuværende position i arbejdet med informationssikkerhed samt hvad det næste skridt bør være. Vi hjælper vores kunder med etablering af ISMS, både med helhedsansvar og som ekspertstøtte inden for specifikke områder.