Säkerhetsåtgärder via ett ISMS
Ett ledningssystem för informationssäkerhet (ISMS) är ett strukturerat tillvägagångssätt som hjälper organisationer att skydda sina informationstillgångar mot olika hot. Syftet med ett ISMS är att säkerställa informationens konfidentialitet, integritet och tillgänglighet genom kontinuerliga processer och aktiviteter.
Ett ISMS implementerar således de nödvändiga säkerhetsåtgärderna i organisationen, bestående av informationssäkerhetspolicyer, procedurer och riktlinjer, inklusive tillhörande resurser och aktiviteter. Detta hanteras av organisationen, som är ansvarig för att upprätta, implementera, operationalisera, övervaka, granska, underhålla och kontinuerligt förbättra organisationens informationssäkerhet för att uppfylla sina affärsmål.
Ledningssystemet kan baseras på flera erkända ramverk och standarder, t.ex.
Ledningssystemet beskriver bl.a. vad företaget ska göra för att säkerställa att verksamheten uppfyller myndighetskrav, avtalsenliga förpliktelser och sin egen riskacceptans. Ledningssystemets omfattning bestäms således av företagets sammanhang, vad företaget gör och vilka hot det står inför.
Genom att aktivt arbeta med de risker och möjligheter som organisationen står inför kan man göra säkra val och etablera lämpliga säkerhetsåtgärder och riktlinjer både internt och hos underleverantörer. Ledningssystemet är ett systematiskt tillvägagångssätt för att identifiera nödvändiga åtgärder.