Information Security Management System

Vad är ett ISMS – och varför är det avgörande för er informationssäkerhet?

Vad är ett ISMS – och varför är det avgörande för er informationssäkerhet?

Ett informationssäkerhetsledningssystem – eller ISMS (Information Security Management System) – är ett strukturerat arbetssätt för att skydda information, minska risker och uppnå efterlevnad. Det handlar om att bygga rutiner, roller och policyer som tillsammans säkerställer att er information hanteras säkert – både tekniskt, organisatoriskt och juridiskt. 
 
Ett ISMS är inte ett dokument eller en produkt – det är ett systematiskt arbetssätt som genomsyrar hela organisationen. Ni kan utforma det helt själva, men många väljer att använda ett etablerat ramverk som exempelvis ISO/IEC 27001 som stöd. 

Varför behövs ett ISMS?​

Informationssäkerhet är komplext. Att installera ett antivirusprogram eller införa tvåfaktorsautentisering räcker inte. Ett ISMS hjälper er att skapa struktur kring:

- Vem som gör vad
- Hur risker hanteras
- Vilka rutiner som gäller
- Hur ni följer upp

Behöver alla företag ett likadant ISMS?

Nej, ett informationssäkerhetsledningssystem ska spegla er verklighet. Ett stort bolag med känsliga kunddata har fler kontroller än ett mindre företag utan särskilda regulatoriska krav. Det centrala är att ni förstår era risker och anpassar skyddet därefter. 

Ett konkret exempel: Besökare på kontoret 

En organisation har definierat i sin säkerhetspolicy att endast behörig personal får åtkomst till intern information. I praktiken innebär det att även besökare måste hanteras – t.ex. genom en rutin för besökshantering: 

  • Hur registreras besökare?
  • Får de röra sig fritt?
  • Vem ansvarar för att de eskorteras?
  • Hur dokumenteras detta


Rutinens existens är en del av informationssäkerhetsledningssystemet. Möjligheten att följa upp att den faktiskt följs är en annan del.

Vad innehåller ett ISMS?

Innehållet varierar beroende på er bransch, storlek och riskbild. Vanliga byggstenar är:

  • Policyer för informationssäkerhet
  • Riskhantering – identifiera, bedöma, hantera
  • Tillgångshantering – kontroll på vad ni har och hur det skyddas
  • Incidenthantering – vad gör ni om något går fel?
  • Kontinuitetsplanering – planera för störningar
  • Interna revisioner – granska att allt fungerar
  • Uppföljning och förbättringar – med stöd av PDCA-cykeln (Plan–Do–Check–Act) 

Hur passar ISO/IEC 27001 in i detta?

ISO 27001 är ett internationellt erkänt ramverk för att strukturera ett ISMS. Det listar krav på dokumentation, ansvar, riskhantering och kontroller (Annex A). Det hjälper organisationer att skapa ett komplett och granskningsbart ISMS. 
 
Ni måste inte använda ISO 27001, men det är ett bra verktyg – särskilt om ni behöver visa compliance för kunder eller samarbetspartners. 

Behöver vi certifiera oss enligt ISO 27001?

Nej om ni inte har ett direkt krav från t ex en viktig kund att ni är certifierade. Många mindre och medelstora företag arbetar enligt ISO 27001:s principer utan att certifiera sig. 
 
Detta kallas ofta att vara ”ISO 27001 compliant” – vilket innebär att ni använder ramverket som struktur, men utan kostnad och administration som följer med en certifiering. 

Om Fortiad

Fortiad har vi specialiserat oss på att hjälpa små till medelstora företag att införa informationssäkerhetsledningssystem som faktiskt fungerar i praktiken. 
 
Vi vet att varje verksamhet är unik. Därför arbetar vi med anpassade implementationer, där omfattning, processer och kontroller utformas utifrån ert verkliga behov, riskbild och organisatoriska förutsättningar. 
 
Ett ISMS ska vara ett stöd – inte en börda. Vårt mål är att göra ert säkerhetsarbete smart, skalbart och värdeskapande. 

Daniel Hasslund

COO / CISO

Telefon
Mejl
LinkedIn
Boka ett möte