Ledningssystem för Informationssäkerhet – LIS
Alla organisationer har ett ledningssystem, eller ett ”system” för att leda verksamheten. Det handlar helt enkelt om hur ledningen styr sin verksamhet. Detta ledningssystem kan vara mer eller mindre strukturerat och mer eller mindre konkret. Det kan kallas styrsystem eller styrmodell eller ingenting alls, men det finns där.
Ett ledningssystem för informationssäkerhet (ofta förkortat LIS) är därmed den del av ledningssystemet som styr verksamhetens informationssäkerhet. För att informationssäkerhetsarbetet ska lyckas och vara framgångsrikt är det viktigt att informationssäkerheten integreras med de olika styrformerna, som planering och uppföljning.
Ledningssystemet bygger därmed på organisationens planerings- och uppföljningscykler. Dessa cykler innebär till exempel att ledningen löpande informerar sig om informationssäkerhetsarbetet, gör regelbundna verksamhetsplaneringar och -kontroller samt ser över styrdokumenten med jämna mellanrum.
ISO-standarder för ledningssystem för informationssäkerhet
Hur informationssäkerhetsarbetet kan bedrivas på ett systematiskt sätt och i enlighet med ”best practice” finns beskrivet i standarderna för ledningssystem för informationssäkerhet. Metodstödet bygger på dessa standarder och utgör ett stöd i hur man omsätter standarderna i praktiken. Metodstödet kan till stora delar användas utan att ha tillgång till standarddokumenten men vi rekommenderar användarna av Metodstödet att även inskaffa åtminstone 27000, 27001 och 27002. Se nedan för en närmare beskrivning.
Standarder kring informationssäkerhet har samlats i standardserien 27000. Den har tagits fram inom ramen för samarbetet i de internationella standardiseringsorganen ISO (International Organization for Standardization) och IEC (International Electrotechnical Commission). Standarderna arbetas fram mot bakgrund av de deltagande internationella experternas samlade erfarenheter av ett systematiskt arbete med informationssäkerhet. Från svensk sida deltar SIS (Swedish Standards Institute) med experter från de organisationer som valt att delta i SIS arbete på nationell nivå.
Standarderna är strukturerade i tre nivåer: krav, riktlinjer och stöd. Dessa olika nivåer visar vad (krav) en organisation bör göra när det gäller informationssäkerhet samt hur (riktlinjer och stöd) man kan arbeta.
Den som använder en LIS-standard får hjälp i sitt interna arbete men ansluter sig också till ett vedertaget sätt att arbeta med informationssäkerhet och anammar en gemensam terminologi. På så sätt blir det lättare att kommunicera och samarbeta om gemensamma informationssäkerhetsfrågor med kollegor i andra organisationer, både nationellt och internationellt.
· LIS är ett stöd för hur informationssäkerhetsarbetet styrs i verksamheter
· Ett LIS är en organisations processer för styrning och ledning av informationssäkerhetsarbetet.
· Dessa processer ska utvärderas löpande och anpassas till aktuella verksamheter och omvärldskrav.
· En central del i ett ledningssystem är ledningens uttalade stöd.
· Ledningen bör också se till att organisationen antar en policy för informationssäkerhetsarbetet där detta stöd kommer till uttryck.
· I ytterligare styrdokument, riktlinjer och liknande kan sedan den högsta
ledningen ge vägledning till mellanchefer och övrig personal.
· Det är naturligtvis viktigt att alla i en organisation känner till och förstår
innehållet i policy och riktlinjer.
· Erfarenheten visar tydligt vikten av att anställda uppvisar ett säkert
beteende i sitt dagliga arbete.
· En stor del av arbetet med att driva ett ledningssystem handlar därför om att informera medarbetare om de regler som ingår i ledningssystemet.
Upphovsman detta kapitel: MSB, https://www.