Att ta hänsyn till informationssäkerhet har blivit en allt viktigare fråga i dagens informationssamhälle till följd av den tekniska utvecklingen och de ökade säkerhetsincidenterna. För att säkerställa informationssäkerhet i sin egen organisation är det vanligt att implementera ett ledningssystem för informationssäkerhet. Ett sätt att göra detta på är genom att implementera den internationella standarden ISO 27001. Dock har standardens värde och effektivitet ifrågasätts bland många intressenter och aktörer.
Under våren 2022 har Midagon (dåvarande Kontract) fått äran att stötta två studenter i deras examensarbete. Sofia Lund och Yasmin Kamil har precis tagit examen från ”Masterprogrammet i informatik - ledning och styrning av informationssäkerhet” vid Örebro universitet. När Midagon tillsammans med Sofia och Yasmin diskuterade ett lämpligt ämne för examensarbetet så dök ett av Midagons tidigare blogginlägg ”Compliant – På riktigt!” upp. Sofia och Yasmin tog sig an utmaningen att undersöka ”Värdet och effektiviteten av ISO 27001” i sitt examensarbete. Nedan finner du Sofia och Yasmins blogginlägg och en länk till deras examensarbete.
Att ta hänsyn till informationssäkerhet har blivit en allt viktigare fråga i dagens informationssamhälle till följd av den tekniska utvecklingen och de ökade säkerhetsincidenterna. För att säkerställa informationssäkerhet i sin egen organisation är det vanligt att implementera ett ledningssystem för informationssäkerhet. Ett sätt att göra detta på är genom att implementera den internationella standarden ISO 27001. Dock har standardens värde och effektivitet ifrågasätts bland många intressenter och aktörer.
Med detta och blogginlägget till bakgrund har examensarbetet “The output legitimacy of ISO 27001” uppstått. Studien indikerar på att effektiviteten av ISO 27001 kan variera, beroende på vilket informationssäkerhetsmål intressenter vill uppnå med stöd av standarden.
Olika intressenter som arbetar med frågor som berör informationssäkerhetsområdet upplever att standarden kan användas på ett effektivt sätt för att upprätthålla ett ledningssystem för informationssäkerhet. Med andra ord ger standarden intressenter fria tyglar för att skräddarsy informationssäkerhetsarbetet enligt de behov och krav som finns inom organisationen.
Däremot bevisar studien att många företag och organisationer oftast certifierar sig enligt ISO 27001 för effektivare affärsuppgörelser och inte för compliance-syfte. På följande sätt är det möjligt att indikera att en certifiering inte är en tillräckligt god lösning för organisationer att bevisa hur de säkerställer sitt informationssäkerhetsarbete. Framför allt för att många intressenter upplever att ISO 27001 certifiering har förlorat sitt värde och anses inte vara lika kraftfullt längre och därför kan många kunder kräva att leverantören efterlever eller certifierar sig enligt mer industribaserade standarder.
För att kunna ta stöd av ISO 27001 på ett effektivt sätt är det viktigt att inte endast fokusera på standardutvecklingen, utan även investera i kunskapen gällande standarden bland standardanvändarna. Framför allt för att standardanvändare behöver förstå att ISO 27001 är inte tänkt att fungera som en teknisk standard utan som en standard för att implementera, etablera och bedriva ett ledningssystem förinformationssäkerhet. Dessutom krävs det en kompetensutveckling gällande informationssäkerhet, så att personer med de rätta kunskaperna och färdigheterna bedriver detta arbete på ett lämpligt sätt med stöd av standarden.
Varje organisation måste ta ansvaret att skräddarsy hur säkerhetsåtgärderna i standarden ska implementeras inom organisationen. Standarden har utvecklats på ett sådant sätt att den ska kunna passa in alla former av domäner och organisationer, därför är det svårt i en standard att beskriva vad som behöver göras.
För att en informationssäkerhetsstandard ska ha ett högt värde och effektivitet kan det vara nödvändigt att involvera relevanta intressenter vid standardiseringsprocessen. Detta kommer att öppna upp möjligheterna till att de kommer kunna påverka och adressera viktiga mål och säkerhetsåtgärder i en standard.
Det första intrycket är viktigt. Både när vi möter nya människor och när vi kommer in på vår nya arbetsplats ...
Läs bloggen
Som IT-ansvarig är en allt viktigare uppgift att onboarding och offboarding fungerar smidigt och effektivt. Det är inte bara en ...
Läs bloggen
Vad kan myndigheter och verksamheter göra för att minimera säkerhetsriskerna och att information kommer i fel händer? Att säkra upp ...
Läs bloggen
