ISO-sertifisert svensk kommune

Borlänge kommune sertifisert i informasjonssikkerhet

Ingen svensk kommune har tidligere vært sertifisert etter ISO 27001.

ISO/IEC 27001, som også er en norsk standard, setter krav til ledelsessystem for informasjonssikkerhet – og spesifiserer kravene for implementering av sikkerhetskontroll innen en organisasjon. Den dekker også fysisk kontroll og IT-sikkerhetsspørsmål.
ISO/IEC 27002 er en standard for administrasjon av informasjonssikkerhet.

I Norge er 2 kommuner ISO-sertifiserte etter 27001; Larvik og Asker.
Ifølge artikkel i Computerworld er det 17 norske organisasjoner som er sertifiserte etter denne standard, pr. mai 2013.

Små virksomheter kan ha vanskeligheter med å følge opp og gjennomføre en sertifisering etter ISO-standard. Det er imidlertid mulig å bruke en standard som rettesnor uten å gjennomføre hele sertifiseringsløpet. Det er uansett viktig å ha styring og kontroll med informasjonssikkerhet.

Difi gjorde en undersøkelse i 2012 hvor man har laget en rapport; Styringssystem for informasjonssikkerhet – erfaringer og anbefalinger. Rapporten gjengir og vurderer en rekke erfaringer fra forvaltningen –
både fra revisjons- og tilsynsmyndigheter og fra virksomheter som har etablert slike styringssystem og brukt de aktuelle standardene.

Utdrag fra virksomhetenes råd i Difis rapport:

  • Forankring i ledelsen er noe av det viktigste å få på plass.
  • Ha fokus på at virksomheten skal ha styring og kontroll med informasjonssikkerheten, mer enn å ha et eget styringssystem for informasjonssikkerhet.
  • Prioriter hensiktsmessig internkontroll basert på risiko, vesentlighet og virksomhetens egenart.
  • Integrer de nødvendige kravene rundt styring med informasjonssikkerheten i eksisterende eller felles styringssystem.
  • Sett av nok ressurser til arbeidet med den internkontroll styringssystemet er. Dette er ledelsens ansvar.
  • Informasjonssikkerhetsansvarlige må se eget ansvarsområde i en større sammenheng, og gi ledelsen gode råd for å sikre helheten og ikke bare eget ansvarsområde.

Les mer:

NorSIS håndbok for informasjonssikkerhet for SMB

NorSIS veiledning om Sikkerhets ledelse

DIFI Rapport om Styringssystem for informasjonssikkerhet – erfaringer og anbefalinger
idg.no

informationssakerhet.se
Borlänge kommun

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.

Publisert: 13. mai 2013

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.