Hva er ISMS
30. august 2021

Hva er ISMS?

ISMS er et styringssystem for informasjonssikkerhet, og er en forkortelse for det engelske begrepet «Information Security Management System».

ISMS er også en internasjonal standard, ISO 27001 og ble utarbeidet for å stille krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av internkontroll, styrings- og ledelsessystem. 

Hva er informasjonssikkerhet? 

Informasjonssikkerhet i en bedrift handler om å håndtere risiko relatert til informasjonsverdier og behandlingen av personopplysninger. Uavhengig av hvordan personopplysningene lagres, må de beskyttes på en god måte. Informasjonssikkerhet i en bedrift er en kontinuerlig prosess, og bedriften må også følge med på at all data er sikret og at systemene gjør jobben sin, selv om den teknologiske utviklingen og eventuelle angrep endrer form på kort tid. 

Hvorfor skal en bedrift ha et system for informasjonssikkerhet? 

Gjennom å ta i bruk systemstøtte for informasjonssikkerhet får man en transparens i hele selskapet, og alle vet at sikkerheten blir ivaretatt. Du kan drive datafangst for å samle informasjon som kan danne beslutningsgrunnlag, samt følge med på at det ikke skjer avvik i henhold til gjeldende lover og forskrifter.

En trygghet for ansatte, kunder og samarbeidspartnere

Ved å ta i bruk systemer for informasjonssikkerhet viser det ansatte, kunder og andre samarbeidspartnere at bedriften tar ansvar for konfidensialitet og integritet. Ved å ta i bruk en risikostyringsprosess i arbeidet med informasjonssikkerhet, kan alle involverte være trygge på at risiko blir håndtert på riktig måte. 

ISMS betyr struktur i selskapet 

Et styringssystem for informasjonssikkerhet betyr enkelt forklart å skape en struktur i selskapet som lar ressurser ivareta informasjonssikkerheten i bedriften. Et slikt styringssystem inneholder prosedyrer, sjekklister, sertifikater, policyer, standarder og aktivitetsplaner som dekker penetrasjonstester når det gjelder virus og andre typer inntrengninger. Man kan ha en fast møtevirksomhet med revisjoner rundt informasjonssikkerhet, og et bibliotek hvor dette dokumenteres.

Informasjonssikkerhet må forankres i ledelsen

Det er selskapets øverste ledelse som skal etablere en informasjonssikkerhetspolicy, og sørge for at den dokumenteres, kommuniseres og etterleves. 

En slik policy må være i tråd med virksomhetens formål. Den burde også inneholde et rammeverk for å kunne sette mål, samt forplikte seg til at virksomheten følger definerte krav og hele tiden streber etter kontinuerlig forbedring. 

ISO 27001 er ikke et krav 

I Norge er det ikke et krav om at offentlige virksomheter skal sertifisere seg etter ISO 27001, men de pålegges å basere seg på en anerkjent standard, og får derfor en anbefaling om å basere seg på denne standarden.

EG Landax tilbyr kvalitetsledelse for informasjonssikkerhet 

EG Landax er et komplett system for kvalitetsledelse og styring, og tilbyr systemstøtte for informasjonssikkerhet basert på ISO-standarder for ledelse, blant annet ISO 27001, 9001, 14001 og 45001. I EG Landax finner du blant annet sjekklister, dokumentstrukturer, dashboards, default samsvar, protokoller, prosedyrer og risikoområder. Alt ditt selskap trenger for å kunne ivareta informasjonssikkerhet på en trygg og strukturert måte. 

Hvis du er nysgjerrig på EG Landax kan du kan du få en gratis demo her, eller kontakte oss dersom du har spørsmål.

ISO-standarder

Photo-button-ISO9001.jpg   Photo-button-ISO14001.jpg   Photo-button-ISO27001.jpg   Photo-button-ISO45001.jpg