Informationssäkerhet

• ISO27000
• NIS2
• GDPR
• Cybersäkerhetslag

Kraven ökar för organisationer att påvisa hur de styr och leder för att uppnå mål, uppfylla krav och efterleva lagstiftning kring informationssäkerhet.

Hela den digitala leveranskedjan omfattas: process, information, personuppgift, informationssystem, IT-tjänst, IT-infrastruktur och externa leverantörer. Störningar i leveranskedjan kan slå ut hela verksamheter, röja känslig information, allvarligt påverka känsliga styrsystem för t ex el- och vattenförsörjning, sjukvård. Modern informationssäkerhetshantering behöver kunna styra den växande digitala världen.

Flera olika typer av lagstiftning, normer och standards styr detta arbete, bl a:

• NIS-direktivet - Cybersäkerhetslag
• Säkerhetsskyddslagen
• GDPR - Dataskyddsförordningen
• ISO 27000 - Cyber- och informationssäkerhet
• ISO 22301 - Kontinuitet
• ISO 31000 - Riskhantering

På senare tid har myndigheter och andra organ uppdaterat sina rekommendationer och kravställningar. Myndigheten för Samhällsskydd och Beredskap (MSB) släppte nyligen en rapport med 20 rekommendationer för företag som verkar i moderna it-landskap.

Rapporten visar även att ändringar som gjorts, utan överblick och utan ett tydligt informationsäkerhetsarbete, kan orsaka skada. Även motsatsen, där icke genomförda ändringar lett till stora skador med t ex angripare som utnyttjat kända sårbarheter i ej uppdaterade system.

Strukturerat arbete med iFACTS för robusta processer kring informationshantering

iFACTS metod baseras på processorientering och tillgångshantering – inspirerat av ISO-standarder, specifikt ISO27001 inom informationssäkerhet. Vanliga arbetsflöden inom informationssäkerhet är: ägarskap, ansvar, klassificering, kravhantering, policy, dokumenthantering, beroenden i leveranskedjan, GAP-analys, incident- och avvikelsehantering, risk- och kontinuitetshantering samt ledningsrapportering.

iFACTS stödjer även certifieringsprocessen av LIS (Ledningssystem för Informationssäkerhet) enligt ISO 27001. Från omfattning, riskhantering, val av kontroller inklusive uttalande om tillämplighet. iFACTS AB är certifierade enligt ISO 9001/27001 i en kombinerad certifiering.

NIS2 kopplat till informationssäkerhet

NIS2 tillämpas i Sverige via Cybersäkerhetslagen (träder i kraft 2026) där MSB har en central samordnande roll. MSB uttrycker specifikt att ISO 27001 praxis rekommenderas vid implementering. iFACTS metod och mjukvarustöd stödjer ISO 27001 hela vägen till certifiering och därmed även uppfyllnad av Cybersäkerhetslag. Nedan några tongivande exempel av lagkrav ur Cybersäkerhetslagen:

• Systematiskt och riskbaserat informationssäkerhetsarbete
• Incidenthantering
• Kontinuitetshantering
• Styrning av leveranskedjan

GDPR kopplat till informationssäkerhet

Lagkrav från GDPR/Dataskyddsförordningen hanteras inom informationssäkerhet. Respektive behandling registreras som en tillgång och all nödvändig funktionalitet finns tillgänglig i iFACTS mjukvara. T ex: behandlingsregister, DPIA, rapportering dataintrång, medgivande, uppgift om lagrade data och radering.