I många små och medelstora företag stöter man på samma problem med ISO 27001: kraven förstås visserligen, men det vardagliga arbetet sprids ut i olika filer, mejl och checklistor. När bevis på att kontroller genomförts ska samlas in för en audit blir arbetet snabbt manuellt, tidskrävande och ökar risken för fel.
Här kommer teknologin in som hjälpmedel. I denna artikel går jag igenom vad det praktiskt innebär att uppfylla ISO 27001-krav med hjälp av teknologi, vilka områden det är bäst att automatisera först och hur ni går fram kontrollerat utan ett tungt systemprojekt.
Vad löser teknologin egentligen inom ISO 27001-arbetet?
ISO 27001 är ett informationssäkerhetsledningssystem, alltså en modell för hur organisationen styr informationssäkerheten på ett systematiskt sätt. I praktiken innebär det till exempel riskbedömningar, ansvarsfördelning, införande av kontroller, hantering av avvikelser och ständig förbättring.
Teknologin ersätter inte ledarskapet, men den gör tre saker betydligt enklare:
- samlar information på en plats
- automatiserar återkommande uppgifter
- samlar bevis till audit
Tänk så här: om rättighetskontrollen görs en gång per kvartal i Excel är arbetet känsligt för bortglömmande. Om samma process hanteras med ett verktyg som påminner ägaren, loggar godkännanden och bevarar en logg kan ni snabbt visa revisorn vad som gjordes, när och av vem.
Observera
ISO 27001 kräver inte någon specifik programvara eller ett dyrt GRC-system. Vinsten kommer av att valda verktyg stöder er egen arbetsmodell och ger tillförlitliga bevis.
Vilka områden ger teknologin störst nytta?
Allt behöver inte digitaliseras på en gång. För de flesta små och medelstora företag kommer störst nytta där information ofta ändras, där flera ansvariga finns eller där bevis måste kunna visas snabbt.
Börja i regel med dessa 5 centrala områden:
| Område | Vad teknologin hjälper dig göra | Exempel på mätvärde |
|---|---|---|
| Riskhantering | Registrering, poängsättning, beslutsfattande och uppföljning av risker | 3–5 huvudrisker uppdaterade kvartalsvis |
| Rättighetshantering | Beviljande, ändringar och borttag av identiteter | Konton tas bort inom 24 timmar efter anställningens slut |
| Avvikelsehantering | Registrering, undersökning och åtgärder för informationssäkerhetsavvikelser | Avvikelse hanteras inom 5 arbetsdagar |
| Dokumenthantering | Policys, instruktioner, godkännanden och versionshistorik | 100 % av obligatoriska dokument är aktuella |
| Övervakning och rapportering | Mätvärden, uppgifter, auditbevis och ledningsgenomgång | Ledningsrapport produceras månatligen |
Om ni undrar var ni ska börja, ställ er tre frågor:
- I vilken process kostar ett misstag mest?
- Var är informationen just nu spridd på flera ställen?
- Var skulle det vara svårast för auditorn att få bevis idag?
Ofta är svaret rättighetshanteringen, riskregistret eller dokumenthanteringen.
Vilka verktyg kan ni använda?
Teknologi inom ISO 27001 är inte bara ett system. I praktiken handlar det om en verktygssvit där olika lösningar stödjer samma ledningssystem.
En typisk samling kan innehålla till exempel:
- ISMS-verktyg för att underhålla informationssäkerhetsledningssystemet
- ticket-system för hantering av avvikelser och uppgifter
- identitets- och rättighetshanteringslösning för användarkonton
- dokumenthantering för policies, instruktionsdokument och godkännanden
- övervaknings- och loggverktyg för händelseuppföljning
- utbildningsplattform för uppföljning av personalens informationssäkerhetsutbildning
För små och medelstora företag är inte huvudfrågan om verktyget är tekniskt avancerat, utan om det stödjer det vardagliga arbetet. En bra lösning uppfyller åtminstone dessa kriterier:
| Kriterium | Vad ni bör kolla i praktiken |
|---|---|
| Användarvänlighet | Kan ansvarig hitta sin uppgift på under 2 minuter? |
| Spårbarhet | Finns logg över godkännanden, ändringar och genomgångar? |
| Aktualitet | Syns föråldrade dokument eller försenade uppgifter omedelbart? |
| Rapportering | Kan ni ta fram en sammanfattning till ledningen utan manuellt arbete? |
| Skalbarhet | Fungerar lösningen även om personalen ökar med 20–50 %? |
Till exempel är Tietoturvapankki byggd just för detta behov: att kombinera applikation och expertstöd så att ISO 27001-arbetet inte bara blir ett fristående dokumentprojekt.
Var hjälper automation mest?
Automation bör riktas mot återkommande uppgifter. Om samma påminnelse, kontroll eller godkännande görs manuellt varje månad finns nästan alltid en plats för automatisering.
Bra kandidater för automatisering är till exempel:
- periodiska granskningar av policies var 6:e eller 12:e månad
- rättighetskontroller kvartalsvis
- informationssäkerhetsuppgifter vid nyanställning
- avstängning av konton för avgående medarbetare inom 24 timmar
- påminnelser och eskaleringar för avvikelsehantering
- leverantörsutvärderingsuppföljning årligen
Vinsten med automation syns på två sätt. Dels förlitar sig arbetet inte på en personals minne. Dels kan ni visa auditen att processen fungerar systematiskt, inte bara när någon hinner ta itu med den.
Tips
Välj en återkommande process, till exempel borttagning av konton, och mät nuläget i två veckor. Om ens ett konto inte tas bort inom målet betalar sig automatiseringen snabbt tillbaka.
Teknologi tar inte bort ansvar
Detta är en vanlig missuppfattning. Även om ni har ett bra system måste organisationen fortfarande definiera roller och ansvar: vem äger riskregistret, vem godkänner policies, vem följer upp avvikelser och vem rapporterar till ledningen.
En fungerande praxis är att åtminstone utse dessa roller:
| Roll | Ansvar | Rekommenderad frekvens |
|---|---|---|
| Ledning | Mål, resurser, genomgång | kvartalsvis |
| Informationssäkerhetsansvarig | Koordinering av ledningssystemet | månatligen |
| Processägare | Risker och kontroller inom sitt område | månatligen |
| IT | Genomförande och övervakning av tekniska kontroller | löpande |
| HR | Introduktion och processer för avgående medarbetare | vid varje förändring |
Om ansvar är otydliga flyttar teknologin bara förvirringen till en ny användargränssnitt. Därför bör varje uppgift ha en ägare, deadline och godkännandeprocedur.
Avgränsa först vilket ISO 27001-arbete ni vill stöda med teknologi
Definiera tillämpningsområde, alltså vilken verksamhet, tjänster, team och data ledningssystemet omfattar. Välj därefter 2–3 processer där teknologin ger snabbast nytta, som riskhantering, rättigheter eller dokumenthantering.
Beskriv nuläget och sätt mätbara mål
Dokumentera hur de valda processerna fungerar idag: var informationen finns, vem godkänner vad och hur lång tid uppgifter tar. Sätt tydliga mål för varje process, till exempel "konton tas bort inom 24 timmar" eller "riskregistret uppdateras 4 gånger per år".
Välj verktyg som också ger auditbevis
Utvärdera lösningar utifrån om det finns logg, versionshistorik och godkännandekedja. Om verktyget inte hjälper er visa revisorn vad som gjorts och när, löser det bara delar av problemet.
Automatisera påminnelser, godkännanden och periodiska kontroller
Inför arbetsflöden för återkommande uppgifter: granskningar, rättighetskontroller, utbildningspåminnelser och eskaleringar av avvikelser. Börja med en process och utöka först när ni ser att det nya arbetssättet fungerar i vardagen minst 30–60 dagar.
Följ mätvärden och åtgärda brister månadsvis
Bygg en kort månatlig rapport till ledningen som visar försenade uppgifter, öppna avvikelser, föråldrade dokument och huvudrisker. Om ett mätvärde understiger målet vid två raka kontroller, bestäm direkt en korrigerande åtgärd.
Vanligaste misstagen vid infördande av teknologi
Det största misstaget är att försöka lösa ISO 27001 bara med ett verktyg. Om processen inte definierats digitaliseras bara dåliga rutiner.
Undvik särskilt dessa fallgropar:
- köpa in ett för tungt system för organisationens storlek
- kopiera standardkontroller utan egen riskbedömning
- låta uppgifter och dokument sakna ägare
- samla på för många mätvärden men inte följa upp någon regelbundet
- glömma personalutbildning och support vid införande
En bra tumregel är: om ansvarig inte klarar sin del i verktyget efter 15 minuters introduktion, är lösningen sannolikt för komplicerad.
Varning
Ett vanligt misstag är att först bygga ett stort dokumentationspaket och först därefter fundera på hur det ska underhållas. Då blir policies snabbt föråldrade och auditbeviset otillräckligt redan under första året.
Hur mäter ni nyttan med teknologi?
Utan mätvärden är det svårt att veta om teknologin verkligen underlättar uppfyllandet av ISO 27001-krav. Därför bör ni välja ett litet antal nyckeltal som följs regelbundet.
Ett bra startpaket kan innehålla dessa mätvärden:
| Mätvärde | Målnivå | Varför det visar framgång |
|---|---|---|
| Utförda granskningar i tid | 95 % | Visar att årshjulet fungerar |
| Genomloppstid för borttagna konton | under 24 h | Minskar rättighetsrisk |
| Öppna högrisksavvikelser | 0–2 st | Håller kritiska frågor synliga |
| Uppdaterade obligatoriska dokument | 100 % | Stöder auditberedskap |
| Informationssäkerhetsutbildning klar | minst 98 % | Visar personalens täckning |
När mätvärden syns varje månad blir diskussionen mer fakta än åsikter. Detta är särskilt värdefullt vid ledningsgenomgångar där man måste kunna visa hur informationssäkerhetsledningssystemet fungerar i praktiken.
Om ert företag redan har ISO 9001 eller Kvalitetsbanken — Koncernens kvalitetsledningsvarumärke, kan ni använda samma ledningslogik även för informationssäkerhet. Samma principer, som ansvar, avvikelsehantering, granskningar och ständig förbättring, fungerar väl också i ISO 27001-miljön.
När är det bäst att använda en färdig lösning med expertstöd?
Om ni inte har tid att bygga modellen själva är en färdig lösning ofta den snabbaste vägen framåt. Detta gäller särskilt när målet är att få ledningssystemet i drift på 2–4 månader och inte som ett årslångt utvecklingsprojekt.
En färdig lösning med expertstöd passar särskilt i situationer där:
- få ansvariga finns och tiden är knapp
- ISO 27001 ska bli en del av vardagen, inte bara för audit
- dokumentation, risker och uppgifter ska visas i samma vy
- ni behöver stöd för vad som ska göras först och vad som kan vänta
I en modell som Tietoturvapankki kommer nyttan av att programvara och experthjälp stöder varandra. Ni blir alltså inte ensamma med att tolka vad standardens krav betyder just för ert företag.
Sammanfattning
- Teknologi hjälper till med att uppfylla ISO 27001-krav särskilt inom riskhantering, rättigheter, dokumentation och rapportering.
- Börja med 2–3 viktigaste processer och sätt tydliga mätvärden, som 24-timmars borttagning av konton.
- Välj verktyg baserat på om de ger auditbevis: loggar, godkännanden, versionshistorik och rapporter.
- Automatisera först återkommande uppgifter som granskningar, påminnelser och rättighetskontroller.
- Teknologi fungerar bara om roller, ansvar och månatlig uppföljning är på plats.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.