Hoppa till innehållet
Ämnesområden

Ledningssystem för informationssäkerhet

Informationssäkerhet handlar om en organisations förmåga att hantera och skydda information utifrån krav på sekretess, riktighet och tillgänglighet.

Swedacs huvudkontor 140320

Informationssäkerhet är en viktig del av skyddet för den personliga integriteten. Ingen organisation kan arbeta effektivt utan rätt information vid rätt tidpunkt. Ett av de viktigaste skälen till att arbeta med informationssäkerhet är att säkerställa att verksamheten kan fortsätta även om det som inte får hända trots allt händer ­– avbrott, störningar, eller att viktig information hamnar i fel händer.

Har organisationen byggt upp ett ledningssystem för informationssäkerhet finns det möjlighet att bli certifierad. Ledningssystemet bygger på den internationella standarden SS-EN ISO 27001 och finns att köpa hos SIS, Swedish Standards Institute. Certifieringen är främst till för organisationer som hanterar stora mängder känslig och värdefull information. Hälso- och sjukvårdssektorn, den finansiella sektorn samt företag som arbetar med konstruktion och utveckling är exempel på organisationer där det kan finnas behov av att skydda organisationens information.

Information till den som vill certifiera sitt ledningssystem

En certifiering utförs av ett certifieringsföretag. De certifieringsföretag som är ackrediterade kallas också certifieringsorgan och finns i Swedacs ackrediteringsregister.

Certifieringsorganen utformar sin certifieringsprocess efter kraven i SS-EN ISO/IEC 17021. Bland annat finns krav på

  • att den inledande certifieringsbedömningen görs i två steg
  • att uppföljning ska göras på plats minst en gång per år
  • att det efter maximalt tre år ska göras en grundligare utvärdering av systemets effektivitet och behov av förändringar som grund för nästa treårsperiod.

Information till den som vill bli ackrediterad

Opartiskhet, kompetens, det egna ledningssystemet och certifieringsprocessen ligger i fokus vid Swedacs granskning för ackreditering av certifieringsorgan för ledningssystem. Swedac granskar även det praktiska arbetet på plats, exempelvis genom att observera vid revisioner.

Ackrediteringen görs mot Swedacs gällande föreskrifter STAFS, och mot kravstandarden för certifieringsorgan som certifierar ledningssystem, ISO/IEC 17021-1 och mot standarden SS-EN ISO/IEC 27006. Standarderna går att köpa hos SIS, Swedish Standards Institute.

Det finns även vägledningsdokument från de internationella organisationerna IAF och EA.