ISMS (Informationssikkerhedsstyringssystem)

Et ISMS (Information Security Management System) er den systematiske ramme, som en organisation bruger til at styre, overvåge og løbende forbedre sin informationssikkerhed. Det er kernen i ISO 27001-standarden og danner grundlaget for en eventuel certificering.

Tilbage til ordbog

Hvad er et ISMS?

ISMS står for Information Security Management System, på dansk informationssikkerhedsstyringssystem. Det er ikke et enkelt dokument eller et IT-system, men derimod en samlet ramme af politikker, processer, procedurer og kontroller, der tilsammen sikrer, at en organisation håndterer informationssikkerhed struktureret og målrettet.

Målet med et ISMS er at beskytte organisationens informationsaktiver mod trusler som databrud, cyberangreb, utilsigtet videregivelse og fysisk tab. Et velfungerende ISMS sikrer, at sikkerhed ikke er et engangsprojekt, men en kontinuerlig proces.

ISMS og ISO 27001

ISO 27001 er den internationale standard, der specificerer kravene til et ISMS. Standarden er udgivet af ISO (International Organization for Standardization) og definerer, hvad et ISMS skal indeholde for at være certificerbart.

Det er vigtigt at forstå skellet: ISO 27001 er standarden, mens ISMS er det konkrete styringssystem, din organisation opbygger. Du kan have et ISMS uden at søge certificering, men en ISO 27001-certificering kræver, at dit ISMS opfylder alle krav i standarden.

Ikke kun IT: Et ISMS dækker mere end blot IT-sikkerhed. Det omfatter fysisk sikkerhed, menneskelige ressourcer, leverandørstyring og juridiske krav. Informationssikkerhed er et ansvar på tværs af hele organisationen.

Hvad skal et ISMS indeholde?

ISO 27001 kræver, at et ISMS som minimum indeholder:

Informationssikkerhedspolitik: En overordnet erklæring fra ledelsen om organisationens tilgang til sikkerhed.
Risikovurderingsproces: En systematisk metode til at identificere og vurdere informationssikkerhedsrisici.
Risikobehandlingsplan: Konkrete tiltag for at håndtere de identificerede risici.
Anvendelseserklæring (SoA): Dokumentation for hvilke Annex A-kontroller der er valgt eller fravalgt.
Intern audit: Regelmæssige interne revisioner af ISMS'ets effektivitet.
Ledelsesgennemgang: Periodisk gennemgang af ISMS af den øverste ledelse.

PDCA-cyklussen

ISO 27001-strukturen er baseret på PDCA-cyklussen (Plan-Do-Check-Act), som driver løbende forbedring:

Plan: Fastlæg ISMS'ets omfang, politikker og risikovurderingsmetode.
Do: Implementer kontroller og processer.
Check: Overvåg, mål og revider ISMS'et via audits og ledelsesgennemgange.
Act: Iværksæt korrigerende handlinger og forbedringer.

Denne cyklus er det, der gør et ISMS til et levende system frem for et statisk dokumentsæt.

Et ISMS er det ledelsessystem, der bliver eksternt auditeret ved ISO 27001 certificering.

Ofte stillede spørgsmål om isms (informationssikkerhedsstyringssystem)

Hvad er et ISMS?

Et ISMS (Information Security Management System) er en samling af politikker, processer og kontroller, der tilsammen sikrer, at en organisation styrer sin informationssikkerhed systematisk og løbende. Det er kernen i ISO 27001-standarden.

Hvad er forskellen på ISMS og ISO 27001?

ISO 27001 er standarden, der beskriver kravene til et ISMS. Et ISMS er selve styringssystemet, som din organisation opbygger og vedligeholder. Du kan have et ISMS uden at være certificeret, men ISO 27001-certificering kræver et ISMS, der opfylder standardens krav.

Hvad skal et ISMS indeholde?

Et ISMS skal som minimum indeholde en informationssikkerhedspolitik, en risikovurderingsproces, en behandlingsplan for risici, en anvendelseserklæring (SoA), samt processer for intern audit, ledelsesgennemgang og løbende forbedring.

Er et ISMS kun IT-sikkerhed?

Nej. Et ISMS dækker langt mere end IT-sikkerhed. Det omfatter fysisk sikkerhed, menneskelige ressourcer, leverandørstyring og juridiske krav. Informationssikkerhed er et ansvar på tværs af hele organisationen.

Hvor lang tid tager det at implementere et ISMS?

For de fleste SMV'er tager implementering af et ISMS typisk 6-12 måneder, afhængigt af organisationens størrelse, kompleksitet og eksisterende sikkerhedsmodenhed. Brug af skabeloner og struktureret vejledning kan accelerere processen markant.