När du arbetar med ISO 27001-certifiering stöter du snabbt på “Bilaga A” och dess 93 kontroller. Men vad är egentligen dessa kontroller, och varför är de så viktiga för din informationssäkerhet?
Vad är kontrollerna?
Kontrollerna i ISO 27001 Bilaga A är konkreta säkerhetsåtgärder som skyddar din organisations information. Tänk på dem som säkerhetsregler - precis som du har brandlarm för att skydda byggnaden, har du dessa kontroller för att skydda din information.
Varje kontroll beskriver en specifik säkerhetsåtgärd som din organisation kan implementera. Till exempel:
- Kontroll 5.1 handlar om att ha tydliga policyer för informationssäkerhet
- Kontroll 8.2 handlar om att hantera privilegierade användarrättigheter
- Kontroll 8.16 handlar om nätverkssäkerhet
Vad kontrollerna INTE är
Det är viktigt att förstå vad kontrollerna inte är:
De är inte obligatoriska alla 93. Du väljer vilka som är relevanta för din verksamhet (även om de flesta organisationer behöver nästan alla).
De är inte detaljerade instruktioner. Kontrollerna säger VAD du ska göra, inte exakt HUR du ska göra det. Det är upp till dig att bestämma hur du implementerar dem.
De är inte en checklista att bara bocka av. Varje kontroll kräver reflektion över hur den passar din specifika verksamhet.
De är inte statiska. Kontrollerna utvecklas över tid - den senaste versionen från 2022 innehåller uppdaterade kontroller som speglar dagens säkerhetshot.
Varför finns kontrollerna?
Kontrollerna finns av flera anledningar:
Standardisering: De ger alla organisationer ett gemensamt språk för informationssäkerhet. När du säger att du följer ISO 27001, vet alla vad det innebär.
Beprövad säkerhet: Kontrollerna bygger på decennier av säkerhetserfarenhet från organisationer världen över. Du behöver inte uppfinna hjulet på nytt.
Riskhantering: Varje kontroll adresserar specifika säkerhetrisker. Tillsammans täcker de de flesta säkerhetshot som organisationer möter.
Certifieringsgrund: Kontrollerna är grunden för ISO 27001-certifiering. Utan dem finns ingen standard att certifiera mot.
Hur används kontrollerna?
Kontrollerna används i flera steg:
1. Relevansanalys
Du går igenom alla 93 kontroller och bedömer vilka som är relevanta för din verksamhet. Nästan alla kontroller är relevanta för de flesta organisationer.
2. Gapanalys
För varje relevant kontroll bedömer du om din organisation redan uppfyller den eller inte. Detta visar var du behöver förbättra.
3. Implementering
För kontroller du inte uppfyller skapar du en plan för hur du ska implementera dem. Detta kan innebära nya policyer, tekniska lösningar eller utbildning.
4. Dokumentation
Du dokumenterar hur du uppfyller varje kontroll. Detta görs på två nivåer:
- SoA-dokumentet: Övergripande beskrivning för externa revisorer
- Intern dokumentation: Detaljerade instruktioner för din personal
5. Uppföljning
Du följer regelbundet upp att kontrollerna fungerar som tänkt och uppdaterar dem vid behov.
Vem arbetar med kontrollerna?
Arbetet med kontrollerna involverar flera roller:
Ledningen fattar beslut om vilka kontroller som ska implementeras och tilldelar resurser.
Säkerhetsansvarig eller CISO leder arbetet och säkerställer att kontrollerna implementeras korrekt.
IT-avdelningen implementerar tekniska kontroller som brandväggar, säkerhetsuppdateringar och åtkomsthantering.
HR-avdelningen hanterar personrelaterade kontroller som bakgrundskontroller och säkerhetsutbildning.
Alla medarbetare påverkas av kontrollerna genom policyer, rutiner och säkerhetsmedvetenhet.
Externa konsulter kan hjälpa till med implementering och certifieringsförberedelser.
När används kontrollerna?
Kontrollerna används i olika faser:
Före certifiering
- Analys av vilka kontroller som behövs
- Implementering av saknade kontroller
- Dokumentation av hur kontrollerna uppfylls
Under certifieringsprocessen
- Revisorer granskar hur ni uppfyller kontrollerna
- SoA-dokumentet visar er tillämpning av kontrollerna
- Bevis för implementering presenteras
Efter certifiering
- Regelbunden uppföljning av kontrollernas effektivitet
- Uppdatering när verksamheten förändras
- Förberedelse för övervakningsrevisioner
Löpande verksamhet
- Kontrollerna blir en del av det dagliga säkerhetsarbetet
- Incidenthantering baserat på kontrollernas riktlinjer
- Kontinuerlig förbättring av säkerhetsnivån
Praktiska exempel
Kontroll 5.1 - Policyer för informationssäkerhet
-
Vad: Du ska ha dokumenterade säkerhetspolicyer
-
Vem: Ledningen godkänner, säkerhetsansvarig skriver, alla följer
-
När: Innan certifiering, uppdateras årligen Kontroll 8.8 - Hantering av säkerhetsbrister
-
Vad: Du ska ha rutiner för att hantera säkerhetsproblem
-
Vem: IT-avdelningen implementerar, alla rapporterar problem
-
När: Aktiveras vid säkerhetsincidenter, testas regelbundet Kontroll 6.1 - Screening
-
Vad: Du ska kontrollera nya medarbetares bakgrund
-
Vem: HR genomför, ledningen godkänner process
-
När: Vid alla nyanställningar, uppdateras vid behov
Sammanfattning
Kontrollerna i ISO 27001 Bilaga A är dina verktyg för att bygga robust informationssäkerhet. De ger dig en beprövad mall för säkerhetsarbetet, men det är upp till dig att anpassa dem till din verksamhet.
Framgång med kontrollerna kräver:
- Förståelse för vad varje kontroll innebär
- Engagemang från ledningen
- Involvering av rätt personer
- Systematisk implementering
- Kontinuerlig uppföljning När du arbetar med kontrollerna, kom ihåg att målet inte är att bara uppfylla en standard - det är att skydda din organisation och skapa förtroende hos dina kunder och partners.
Nästa steg: Använd vår implementeringsguide för att komma igång med arbetet i AmpliFlow. Där får du konkret hjälp med att gå från teori till praktik.
