Information är en oumbärlig tillgång i all affärsverksamhet och är ofta
nyckeln till organisationers tillväxt och framgång. Korrekt information vid
rätt tidpunkt kan betyda skillnaden mellan vinst och förlust, framgång
eller misslyckande. Eftersom affärsvärlden idag är integrerad och därigenom
sårbar är det viktigt att verksamheter skyddar sig mot angrepp.
Informationssäkerhet identifierar och skyddar organisationens tillgångar
samtidigt som verksamhetens utveckling och fortlevnad säkerställs. För att
visa kunder och övriga intressenter att informationssäkerhetsarbetet har en
central del i organisationen kan ett ledningssystem för
informationssäkerhet implementeras och certifieras. Ett certifierat
ledningssystem höjer organisationens förtroende genom att påvisa att all
information skyddads på ett tillfredsställande sätt oavsett var i
organisationen den finns.
Examensarbetet är utfört på uppdrag av SFK Certifiering AB. SFK
Certifiering är ett svenskt certifieringsorgan ackrediterat för att
genomföra certifieringar av ledningssystem. Målet med projektet är att ge
SFK Certifiering underlag till att utveckla sitt verksamhetssystem och sina
medarbetare för att nå en ackreditering enligt ISO 27006:2007. Arbetet
syftar till att inför en ackrediteringsansökan kartlägga och analysera
berörda standarder i avseende att jämföra kraven med SFK Certifierings
befintliga verksamhetssystem inkluderat rutiner, dokumentation,
erfarenheter, kompetenser och resursbehov. På grund av examensarbetets
tidsperiod avgränsas undersökningen till att ge SFK Certifiering underlag
inför en ackreditering och avser inte att genomföra kompletteringar eller
framtagande av rutiner.
Examensarbetet utgår från ett problem av praktisk natur där
projektuppdragaren SFK Certifiering vill söka kunskap som går att använda
för att utveckla och förändra befintligt verksamhetssystem. Arbetet
startade med en explorativ studie där kunskap om informations-
säkerhetsområdet inklusive ISO-standarder och andra föreskrifter
inhämtades. Denna kunskap låg till grund i den fortsatta deskriptiva
studien där detaljerade och grundliga kartläggningar av SFK Certifierings
verksamhetssystem genomfördes.
I examensarbetet har det framkommit att SFK Certifiering bör utveckla,
integrera och implementera ett ledningssystem för informationssäkerhet.
Detta för att höja organisationens informationssäkerhet, visa kunder och
övriga intressenter att det aktivt arbetas med informationssäkerhet och
även för att nå SWEDACs krav inför en ackreditering. Vid utveckling av
informationssäkerhetssystemet föreslås SFK Certifiering inleda med ett
strukturerat angreppssätt som tar hänsyn till organisationens egna
specifika krav på säkerhet. Det ses därför fördelaktigt att SFK
Certifiering startar med att utarbeta en informationssäkerhetspolicy.
Eftersom säkerhetsarbetet har sin utgångspunkt både ur riskanalyser och ur
förebyggande och korrigerande åtgärder bör riskanalyser genomföras
parallellt med utarbetning av policy. Riskerna förändras över tid och det
är därför betydelsefullt att SFK Certifiering kontinuerligt genomför
riskanalyser och därefter åtgärdar förekommande brister.
För att säkerställa informationssäkerheten i verksamheter ses endast
fördelar med att in...