ISO 27001 – från gap-analys till styrning

Från gap-analys till styrning – så får ni ISO 27001 att leva i vardagen

Att bli ISO 27001-certifierad är en sak – att få ledningssystemet att leva i vardagen är en annan. Så byggs styrningen in i era befintliga processer.

Sammanfattning: ISO 27001 är en milstolpe – men den verkliga utmaningen är att få ledningssystemet att leva vidare när projektet är slut och vardagen tar över. Här visar vi hur styrningen byggs in i de forum och processer ni redan har, i stället för att bli ett spår vid sidan om.

ISO 27001 är en viktig milstolpe för många organisationer. Men den långsiktiga utmaningen är sällan att ta fram dokumenten. Den är att få ledningssystemet att fortsätta fungera när projektet är avslutat och vardagen tar över.

Ett ledningssystem för informationssäkerhet behöver vara mer än policyer, riskregister och revisionsspår. Det behöver vara kopplat till hur verksamheten faktiskt styrs.

När styrningen tappar kontakten med vardagen

Det finns några vanliga tecken på att ett ISMS har blivit för fristående:

  • riskregistret uppdateras bara inför revision
  • policyer beskriver ett önskat arbetssätt, men inte hur det fungerar i praktiken
  • uppföljning sker i säkerhetsfunktionen men når inte ledningen
  • ansvar är dokumenterat, men inte förankrat
  • åtgärder finns i en plan, men saknar verklig framdrift

Det betyder inte att arbetet är dåligt. Ofta betyder det bara att ledningssystemet behöver förenklas och kopplas närmare befintliga processer.

Så bygger vi in styrningen

Vi försöker i första hand använda forum, processer och beslutspunkter som redan finns. Det kan vara ledningsmöten, riskforum, förändringsprocesser, leverantörsuppföljning eller verksamhetsplanering.

Arbetet brukar handla om att:

  1. koppla krav och kontroller till befintliga processer
  2. tydliggöra ägare och uppföljning
  3. förenkla styrdokument så att de faktiskt används
  4. lyfta rätt mätetal till ledning och styrelse
  5. göra återkommande mognadsbedömningar i stället för att vänta på nästa stora revision

En extern blick kan göra stor skillnad

Det är svårt att se sina egna rutiner utifrån. En senior extern rådgivare kan ofta snabbt se var styrningen blivit onödigt tung, var ansvar saknas och vilka delar som behöver prioriteras först.

Målet är inte fler dokument. Målet är ett ledningssystem som går att förstå, följa upp och förbättra.

Har ert ISO 27001-arbete börjat leva vid sidan av verksamheten? Läs mer om vårt arbete med informationssäkerhet och styrning och vår gap-analys, eller kontakta oss så tittar vi på hur styrningen kan förenklas.