Så byggde vi ett ledningssystem i Omnia

Precio Fishbone har infört ett ledningssystem för informationssäkerhet som följer ISO 27001. Ledningssystemet har baserats på Office 365 och produkterna Omnia Quality Management System (Omnia QMS) och Omnia Document Management (Omnia DM). Något som definitivt underlättade införandet. Lars Andreen berättar i en serie inlägg om resan.

Den 30 augusti 2018 fick vi, Precio Fishbone AB, vårt ISO 27001-cerifikat.

Ordagrant som det står på certifikatet är det tillämpligt för "Utveckling och förvaltning av kundanpassade lösningar baserade på Microsoftteknologi samt tillhandahållande av konsulttjänster, i enlighet med Uttalande om tillämplighet (SoA) version 1". Vårt certifikationsnummer är 0076084-01.

Ett år tidigare beslutade företagsledningen att det fanns ett behov av en 27001-certifiering eller att åtminstone vara kompatibel mot denna. Orsaken var att kraven på informationssäkerhet ökade i upphandlingar, men också att vi ville höja vår kompetens om säker utveckling och därmed också säkerheten i levererade system och produkter.

Min del i denna resa har varit att utveckla ett ledningssystem för informationssäkerhet samt bland annat genomföra process- och informationsmodellering. Ledningssystemet har baserats på produkterna Omnia Quality Management System (Omnia QMS) och Omnia Document Management (Omnia DM), system för kvalitetsledning respektive dokumenthantering, vilket underlättat införandet.

Ledningssystem för informationssäkerhet (LIS)

Att införa ett Ledningssystem för informationssäkerhet, LIS, är ett krav. Ett annat centralt krav är att ha en aktiv och väl fungerande riskhantering.

Som plattform för implementationen har vi använt Omnia QMS och Omnia DM. Dessutom har vi jobbat hårt med att öka medvetenheten om ISO 27001 i stort och i synnerhet om de risker som finns och hur vi har valt att hantera dessa.

Vid en första anblick kanske det inte verkar vara mycket som behöver tas fram, men under ytan döljer sig ett flertal verktyg och därtill en uppsjö styrande dokument som policys, riktlinjer och rutinbeskrivningar. Till exempel har vi tagit fram verktyg för Statement of Applicability, SOA, processmodellering, dokumenthantering, och kontinuitetsplanering. Allt nås via ledningssystemet.

Det är detta som den här serien inlägg kommer handla om, eller närmare bestämt min erfarenhet av denna resa och min syn på saken. För läsaren vill jag bara klargöra att jag inte är en informations-säkerhetsexpert eller expert på ISO 27001. Däremot har jag lång erfarenhet av branschen och systemutveckling, inklusive processutveckling, informationsmodellering och riskhantering.

Förbättra säkerheten för oss och våra kunder 

Vår resa började med ambitionen att förbättra säkerheten för oss själva och för våra kunder och beslutet att verktyget för detta skulle vara ISO 27001.

Så fort vi satte igång dök frågorna upp. Vad är ISO 27001, vilka krav ställs på oss som organisation, vad skulle vi behöva göra och hur skulle vi gå tillväga?

Tillsammans konsulter från Sentor tog vi fram beskrivning av ledningssystemets omfattning, roller och deras ansvar och andra policy-dokument. Efter att ledningssystemets omfattning var beskrivet skapade vi också ett uttalande om tillämpligheten vilket gjordes i en så kallad Statement Of Applicability, SoA.

Nu hade vi kommit en bra bit på vägen. Vi kände till mer om ISO 27001 och ledningssytemets omfattning och framförallt hade vi säkerställt ledningens stöd och engagemang.

Beskrivning av innehåll i ismsNästa steg blev att utveckla riktlinjer och rutinbeskrivningar. Detta enligt bilden till höger där triangelns form indikerar att antal dokument som behöver tas ökar.

Där policy är komplement till strategin och vägledande för beslut och styrning, så är riktlinjerna tydligare och ger anvisningar och rekommendationer vad som ska utföras i en given situation.
Rutinbeskrivningarna är sedan detaljerade instruktioner för hur en aktivitet ska genomföras.

Snart insåg vi att det skulle bli ett stort antal styrande dokument och att det skulle behövas ett dokumenthanteringssystem, för att hantera mallar och säkerställa att kriterierna för dessa efterlevdes. I skrivande stund har vi cirka tio olika policys, 15 riktlinjer och 50 rutinbeskrivningar. Utöver dessa tillkommer strategidokument, verktyg och ett antal mallar.
Vi kände också att vi behövde bättre stöd för SoA:n och för riskhantering. Senare skulle det visa sig att även andra aktiviteter behövde ett bra IT-stöd, men mer om det senare.

Valet av plattform för dokumenthantering var för oss naturligtvis enkelt. På kombinationen av SharePoint och Omnia DM utvecklade vi Information Security Management System, ISMS.

ISMS – Information Security Management System

Systemet är uppbyggt i två delar, en del som vi kan kalla insida och en som vi kan kalla utsida.

Insidan används för att skapa och hantera innehåll, som till exempel dokument och endast tillgängligt för ett fåtal personer.

Utsidan används för att konsumera innehåll och är därmed öppet för alla inom bolaget.

SOA

Som jag nämnde tidigare tog vi fram ett verktygsstöd för SoA:n. I SoA:n finns alla standardens mål och säkerhetsåtgärder definierade. Där hittar man också vårt uttalande om hur väl vi uppfyller kontrollpunkten, där åtefinns även kopplingar till styrande dokument och verktyg applicerbara för just den specifika kontrollpunkten.

Katalog i ISMS

I och med att det finns kopplingar mellan säkerhetsåtgärderna och de styrande dokumenten tydliggörs vad som ska åstadkommas för att uppfylla målet och det ger dessutom en enkel navigering till respektive dokument.

Skapade mallar för dokumenten

Innan vi började fylla Omnia DM med alla dokument skapade vi dokumentmallar, en för vardera dokumenttyp (policy, riktlinje, rutinbeskrivning).

I mallen angav de metatdata som dokumnenten skulle kategoriseras på eller vara sökbara på. De metadata som sattes var förutom dokumentets rubrik och filnamn också språk, dokumenttyp, klassificering som anger om dokumentet är internt, externt eller konfidentiellt. Dessutom märkte vi med externa regler och ISO-kontroller. Externa regler anger till exempel om det är ISO 27001 och eller dataskyddsförordningen som är upphov till dokumentet. För andra organisationer skulle givetvis andra lagar och direktiv vara applicerbara.

Precis som namnet indikerar anger man under ISO-kontroller den eller de delar av standarden som dokumentet relaterar till.

Metadata I ISMS

Dokumenten gick sedan igenom Omnias granskningsflöde innan de publicerades. Väl är publicerade hamnar de på utsidan i något vi kallar ISMS Handbok.

En lättåtkomlig handbok 

Navigering i ISMSHandboken innehåller alla publicerade dokument, kategoriserade efter de kapitel i ISO-standarden som de har koppling till. 

Om man inte vill navigera i handboken finns ett dokumentcenter som ger användaren möjlighet att söka efter dokument utifrån rubrik och innehåll. Man kan sedan filtrera sökresultatet utifrån de metadata som nämndes tidigare, ISO-kontroll, dokumenttyp, externa regler eller ägarroll.

ISMS:s dokumentcenter

 

De olika kapitlen i ISO 27001Standarden består kortfattat av 14 kapitel uppdelade på områden där varje område har ett mål och en eller flera säkerhetsåtgärder.

Denna hierarki definieras även i ISMS-verktyget och kan därmed refereras till i olika situationer som nämnts ovan.

Hierarkin för exempelvis kryptering ser ut såhär:

 

A.10 Kryptering

 

A.10.1 Kryptografiska säkerhetsåtgärder

 

Mål: Att säkerställa korrekt och verkningsfull användning av kryptering för att skydda informationens konfidentialitet, äkthet och riktighet.

 

A.10.1.1 Regler för användning av kryptografiska säkerhetsåtgärder

Säkerhetsåtgärd

Regler för användning av kryptografiska säkerhetsåtgärder för skydd av information ska utvecklas och införas.

A.10.1.2 Nyckelhantering

Säkerhetsåtgärd

Regler för användning, skydd och giltighetstid för kryptografiska nycklar för deras hela livscykel ska utvecklas och införas.

 

 



 

Lars Andreen

Jobbar som lösningsarkitekt och kravanalytiker på Precio Fishbone. Har också lång erfarenhet av projektledning. Brinner för att bygga rätt lösningar och inte endast bra lösningar.

lars.andreen@preciofishbone.se

LinkedIn

Webinarie: Skydda verksamheten med ett ledningssystem för informationssäkerhet

Den 24 april, klockan 09:00 håller vi ett webinar där vi gör en övergripande genomgång av Omnia ISMS funktionalitet och hur du bland annat effektivt kartlägger och hanterar verksamhetens risker och möter kraven enligt ISO27001.

Klicka här och anmäl dig idag!

Prenumerera

Prenumerera på uppdateringar.

Du har väl inte missat våra webinarier?

Vill du veta mer om hur Omnia fungerar och hur Omnia kan hjälpa din organisation? Om så är fallet är du välkommen att delta på ett av våra populära webinarier. 

Du hittar datum, dagordning och anmälningsblankett i vårt Kunskapsbank