Ledningssystem för informationssäkerhet (LIS) beskriver hur er verksamhet skall arbeta strukturerat inom området informationssäkerhet med utgångspunkt från informationssäkerhetspolicyn. Att ha ett välarbetat ledningssystem på plats syftar till att arbeta strukturerat med informationssäkerhetsfrågor och göra rätt prioriteringar för er verksamhet.
Engelskans Information Security Management System (ISMS) används även flitigt i Sverige, i denna text använder vi oss dock av LIS genomgången, men kan likväl läsas som ISMS.
Vid etableringen av LIS är omfattning och strategi det första ni bör beakta, ex i en större organisation kan det vara så att LIS endast skall etableras initialt för vissa delar av koncernen. Vad gäller strategi handlar det dels om att se över behovet att ta in extern hjälp i arbetet men även val av ramverk samt önskad takt för implementeringen.
Om andra ledningssystem, ex för kvalitet, miljö eller andra områden, redan är etablerade är det av vikt att säkerställa att LIS harmoniserar med övriga ledningssystem, både vad gäller format och innehåll. Det får exempelvis inte finnas krav i ett ledningssystem som medför att det inte går att efterleva ett av de andra ledningssystemets krav.
Flertalet etablerade ramverk finns att basera sin LIS på, dessa är bl.a. ISO 27000 serien, NIST SP 800 serien samt COBIT. Verkar man primärt i Europa är det vanligast att basera ramverket på ISO 27000 serien.
Vi på Cegal ser att LIS består av flertalet nivåer, där det är mest effektivt att skapa sitt LIS med en tydlig tågordning.
Informationssäkerhetspolicyn beskriver primärt inriktningen och ansvaret för arbetet rörande informationssäkerhet. Det ska vara skrivet så att hela organisationen kan förstå innehållet.
Identifiering av informationstillgångar och aktuella risker i ett tidigt skede medför att det går att prioritera vilka områden inom arbetet med informationssäkerhet som behöver prioriteras när regler, riktlinjer och anvisningar arbetas fram.
Att endast arbeta fram ett LIS resulterar inte i högre informationssäkerhet, ett av de viktigaste stegen är att säkra att organisationen arbetar i enlighet med vad som är föreskrivet i LIS. Detta är oftast en förändringsresa som kräver insatser både från ansvarig för informationssäkerhet samt hela organisationen. Det kan för vissa handla om att ändra befintliga arbetssätt för att leva upp till organisationens informationssäkerhetskrav.
Genom vår tjänst Cyber Security Assessment hjälper vi er att identifiera ert nuläge i arbetet inom informationssäkerhet samt vad nästa steg i ert arbete bör vara. Vi hjälper våra kunder med etablering av LIS, både med helhetsansvar men även som expertstöd inom specifika områden.
Ta gärna del av vårt webbinarium on-demand, om vår tjänst Cyber Security Assessment där vi utvecklar mer kring etablering av LIS och vad Cegal kan hjälpa er med.