Advania logo
    Kontakta oss
    Gå tillbaka

    LIS / ISMS

    Vad är ett LIS/ISMS?

    Ett ledningssystem för informationssäkerhet – förkortat LIS på svenska och ISMS (Information Security Management System) på engelska – är det samlade ramverk av policyer, processer, roller och kontroller som styr hur en organisation arbetar med informationssäkerhet. Det är ledningssystemet, inte enskilda tekniska skydd, som standarden ISO 27001 ställer krav på och som en certifiering intygar. Enkelt uttryckt: ett ISMS gör informationssäkerheten till ett styrt, systematiskt och mätbart arbete i stället för en samling punktinsatser.

    Betydelsen av ett LIS/ISMS

    Informationssäkerhet som bygger på eldsjälar och ad hoc-beslut håller inte över tid. När nyckelpersoner slutar, hot förändras eller verksamheten växer behövs en struktur som ser till att rätt saker görs systematiskt – det är vad ett ledningssystem för informationssäkerhet ger.

    Ett ISMS är också navet i regelefterlevnaden. ISO 27001-certifiering kräver ett fungerande LIS, svenska myndigheter är skyldiga att bedriva ett systematiskt informationssäkerhetsarbete enligt MSB:s föreskrifter, och regelverk som NIS2 och DORA förutsätter i praktiken samma sak: dokumenterad styrning, riskbaserade åtgärder och ledningens engagemang. Den som har ett etablerat ISMS möter nya regelverk från en position av ordning – kraven mappas in i befintlig struktur i stället för att utlösa panikprojekt.

    Så fungerar ett LIS/ISMS

    Ett ledningssystem för informationssäkerhet bygger på den klassiska förbättringscykeln planera–genomföra–följa upp–förbättra (PDCA):

    • Styrning och policy: ledningen fastställer informationssäkerhetspolicy, mål, roller och ansvar – och avsätter resurser.
    • Riskbedömning: risker identifieras och värderas systematiskt, och behandlingsbeslut dokumenteras. Informationsklassning avgör vilken information som kräver vilket skydd.
    • Säkerhetsåtgärder: tekniska och organisatoriska kontroller väljs utifrån risk – i ISO 27001 dokumenterat i ett uttalande om tillämplighet (SoA) mot standardens kontrollkatalog.
    • Medvetenhet och kompetens: medarbetare utbildas och säkerhetskulturen följs upp, eftersom människan är en del av systemet.
    • Uppföljning och förbättring: interna revisioner, mätetal, incidentlärdomar och ledningens genomgång driver ständig förbättring.

    Resultatet är en levande styrmodell: ISMS:et är aldrig "klart" utan utvecklas i takt med verksamhet och hotbild.

    Fördelar med ett LIS/ISMS

    Ett etablerat LIS ger ledningen kontroll och överblick: vilka risker finns, vilka åtgärder är beslutade och fungerar de? Det effektiviserar regelefterlevnaden genom att samma struktur svarar mot ISO 27001, NIS2, DORA och myndighetskrav. Det stärker affären – allt fler kunder och upphandlare kräver ISO 27001-certifiering eller bevis på systematiskt säkerhetsarbete. Och det gör säkerhetsarbetet motståndskraftigt mot personberoende: processerna bär, inte enskilda individer.

    LIS/ISMS tillsammans med Advania

    Att bygga ett ISMS som fungerar i vardagen – inte bara i pärmen – kräver balans mellan formalia och praktisk verksamhetsnytta. Advania stödjer organisationer i hela resan: gap-analys mot ISO 27001, design och införande av ledningssystemet, riskmetodik och informationsklassning samt förvaltning och förberedelser inför certifiering. Målet är ett LIS som styr på riktigt och håller över tid.

    Vanliga frågor och svar om LIS/ISMS

    Vad är skillnaden mellan LIS, ISMS och ISO 27001?

    LIS och ISMS är samma sak – ledningssystem för informationssäkerhet på svenska respektive engelska. ISO 27001 är den internationella standard som specificerar kraven på ett sådant ledningssystem. Man kan alltså ha ett ISMS utan att vara certifierad, men en ISO 27001-certifiering förutsätter alltid ett fungerande ISMS.

    Måste vi certifiera oss för att ha nytta av ett ISMS?

    Nej. Ledningssystemet ger värde i sig: systematik, riskkontroll och tydlig styrning. Certifiering tillför ett oberoende intyg som ofta krävs i upphandlingar och kundrelationer. Många organisationer börjar med att etablera ett LIS enligt ISO 27001:s principer och certifierar sig när mognaden och affärsbehovet motiverar det.

    Hur lång tid tar det att införa ett ledningssystem för informationssäkerhet?

    Det varierar med storlek, ambitionsnivå och utgångsläge, men typiskt tar det från ett halvår upp till ett par år från beslut till moget ledningssystem. En gap-analys i starten ger en realistisk plan. Viktigast är att inte se införandet som ett projekt med slutdatum – ISMS:et ska därefter förvaltas och förbättras löpande.

    Vilka dokument ingår i ett ISMS?

    Kärnan är informationssäkerhetspolicyn, riskbedömning med behandlingsplan, uttalande om tillämplighet (SoA), styrande rutiner för exempelvis behörigheter, incidenter och leverantörer samt redovisande dokumentation som revisionsresultat och ledningens genomgång. Omfattningen ska anpassas till verksamheten – ett bra LIS är så litet som möjligt men så stort som nödvändigt.

    Viktiga punkter att ta med sig om LIS/ISMS
    • Två namn, en sak: LIS och ISMS betyder båda ledningssystem för informationssäkerhet.
    • Det ISO 27001 certifierar: standarden ställer krav på ledningssystemet, inte på enskilda tekniska lösningar.
    • PDCA-cykeln: planera, genomför, följ upp och förbättra – ett ISMS är levande styrning, inte en pärm.
    • Navet i efterlevnaden: samma struktur svarar mot ISO 27001, NIS2, DORA och myndighetskrav.
    • Ledningens system: utan ledningens engagemang, mål och resurser blir ledningssystemet bara dokument.
    EFTERLEVNAD OCH STYRNING

    Behöver ni stöd i arbetet med regelefterlevnad och informationssäkerhet?

    Så skyddar vi er information

    Andra relevanta ord i samma kategori