Omnia ISMS – ett verktyg för ständig förbättring av informationssäkerheten

Precio Fishbone har infört ett ledningssystem för informationssäkerhet baserats på Office 365 och Omnia. Det nya systemet har givit verksamheten ett verktyg för efterlevnad av standarder och ständig förbättring. Lars Andreen berättar i en serie inlägg om resan.

Vid den här tidpunkten hade vi tagit fram SoA, policys riskanalyser och höll på med att ta fram riktlinjer och rutinbeskrivningar. Till stöd för detta hade vi implementerat ett IT-stöd baserat på Omnia DM och Sharepoint.


Det var dags att börja fundera på hur vi skulle upprätthålla och utveckla informationssäkerheten. Valet föll på att bilda fokusgrupper som samtliga blev ansvariga för att identifiera risker, aktivt verka för att mitigera risker och för omvärldsbevakning. Varje fokusgrupp blev också ansvarig för en delmängd av standardens krav och kontroller och de styrdokument som berördes. För närvarande finns fyra fokusgrupper som har möten med lite olika periodicitet. En av fokusgrupperna blev övergripande ansvarig och för att utveckla ISMS-verktyget.

Medvetenhet

Att enbart fokusgrupper och medlemmar i dessa grupper tänker på informationssäkerhet och de risker som finns räcker inte. Alla inom bolaget måste ha en grundläggande kompetens. Därför har vi genomfört punktinsatser och infört återkommande kontorsträffar där informationssäkerhet diskuteras och nya eller förändrade rutiner kommuniceras.

Förbättringar

Det arbetet som har bedrivits i fokusgrupperna har tveklöst lett till ökad säkerhet. Listan på åtgärder som redan införts är lång och förslag på ytterligare förbättringar fortsätter att komma. En utmaning är att hantera förslag på åtgärd och väga dessa mot risken om man inte inför åtgärden. För det har vi en rutin för riskhantering.

Riskhantering

Riskhantering

Alla risker som fokusgrupperna eller enskilda medarbetare identifierar ska registreras. Därefter tilldelas en ansvarig och en analys sker av riskens sannolikhet och konsekvens vilket ger en total riskestimering.
De risker som har en total riskestimering som innebär att de hamnar innanför det orange eller röda området (se bild) måste mitigeras.
Mitigering sker i Omnia ISMS, som blivit ett starkt verktyg för ständiga förbättringar av informationssäkerheten, för att kunna skapa ärenden knutna till risken, vilket ger en tydlighet och spårbarhet för hur risken har hanterats.
Som stöd för att definiera vilken sannolikhet en risk har används en ganska enkel femgradig skala som sträcker sig från osannolik till säker.
Definitionen av konsekvensen är mer komplex och består i att utvärdera risken från nio olika perspektiv, däribland förlust av tillgänglighet, konfidentialitet och riktighet samt kostnader för korrigerande åtgärder.

Lars Andreen

Jobbar som lösningsarkitekt och kravanalytiker på Precio Fishbone. Har också lång erfarenhet av projektledning. Brinner för att bygga rätt lösningar och inte endast bra lösningar.

lars.andreen@preciofishbone.se

LinkedIn

Du har väl inte missat våra webinarier?

Vill du veta mer om hur Omnia fungerar och hur Omnia kan hjälpa din organisation? Om så är fallet är du välkommen att delta på ett av våra populära webinarier. 

Du hittar datum, dagordning och anmälningsblankett i vårt Kunskapsbank

Prenumerera

Prenumerera på uppdateringar.