Många organisationer som börjar arbeta med ISO 27001 har redan ett ledningssystem för kvalitet enligt ISO 9001 eller miljö enligt ISO 14001. Det är en stor fördel.
ISO 27001, ISO 9001 och ISO 14001 bygger på samma grundläggande ISO-struktur. Det gör att flera delar av ledningssystemen kan samordnas, till exempel policyer, mål, dokumentstyrning, internrevision, ledningens genomgång, avvikelsehantering och förbättringsarbete.
I stället för att bygga ett separat system för informationssäkerhet kan ISO 27001 ofta integreras i det ledningssystem ni redan har. Det kan göra arbetet mer effektivt, minska dubbelarbete och skapa ett mer sammanhängande sätt att styra verksamheten.
Ecowise hjälper företag, organisationer och offentliga aktörer att bygga integrerade ledningssystem där kvalitet, miljö och informationssäkerhet fungerar tillsammans. Med rätt struktur och digitalt stöd i Spineweb kan ISO 27001 bli en naturlig del av ert befintliga arbetssätt.
Vill ni integrera ISO 27001 med ISO 9001 eller ISO 14001? Kontakta Ecowise så hjälper vi er att hitta en praktisk väg framåt.
Vad är ett integrerat ledningssystem?
Ett integrerat ledningssystem innebär att flera standarder, kravområden eller styrprocesser hanteras i en gemensam struktur.
I stället för att ha ett ledningssystem för kvalitet, ett separat system för miljö och ett tredje system för informationssäkerhet kan organisationen samordna de delar som är gemensamma.
Det kan till exempel handla om:
- Gemensam policystruktur
- Gemensam dokumentstyrning
- Samordnade mål
- Samordnad internrevision
- Gemensam avvikelsehantering
- Gemensam ledningens genomgång
- Gemensamt förbättringsarbete
- En samlad plattform för dokument, risker, mål och uppföljning
Det betyder inte att alla krav blir identiska. Varje standard har sina egna fokusområden. Men strukturen kan ofta delas, vilket gör ledningssystemet enklare att använda och lättare att underhålla.
Vad är gemensamt i ISO-standarderna?
ISO 27001, ISO 9001 och ISO 14001 bygger på en gemensam ledningssystemlogik. De utgår från en struktur där organisationen ska förstå sin kontext, visa ledarskap, planera arbetet, ge rätt stöd, styra drift, följa upp resultat och förbättra systemet över tid.
Det gör integrationen naturlig.
Gemensamma delar är bland annat:
- Kontext och intressenter
- Ledarskap och ansvar
- Policy
- Planering
- Mål och handlingsplaner
- Resurser och kompetens
- Kommunikation
- Dokumenterad information
- Operativ styrning
- Uppföljning och mätning
- Internrevision
- Ledningens genomgång
- Avvikelsehantering
- Korrigerande åtgärder
- Ständig förbättring
Om organisationen redan har ISO 9001 eller ISO 14001 på plats finns ofta mycket av ledningssystemstrukturen redan etablerad. Då behöver ISO 27001 inte byggas från grunden. I många fall kan informationssäkerhet läggas till i samma årshjul, samma dokumentstyrning och samma uppföljningsstruktur.
Gemensamma policyer
En organisation kan ha separata policyer för kvalitet, miljö och informationssäkerhet. Men det går också att arbeta med en gemensam verksamhetspolicy som täcker flera standarder, kompletterad med mer specifika riktlinjer där det behövs.
Det viktiga är att policyn är relevant, beslutad, kommunicerad och kopplad till hur verksamheten faktiskt arbetar.
Gemensamma mål
Mål kan också samordnas. Organisationen kan ha kvalitetsmål, miljömål och informationssäkerhetsmål i samma målstruktur.
Exempel på mål kan vara:
- Minska antalet kundavvikelser
- Minska miljöpåverkan från transporter
- Öka andelen genomförda säkerhetsutbildningar
- Genomföra leverantörsbedömningar enligt fastställd plan
- Minska tiden från incidentrapportering till åtgärd
Med ett gemensamt arbetssätt blir det enklare för ledningen att följa upp helheten.
Samordnad internrevision
Internrevision är ett tydligt exempel på där integration ger effekt. I stället för att genomföra separata revisioner för varje standard kan organisationen planera revisioner som täcker flera kravområden samtidigt.
Det sparar tid och ger ofta bättre resultat, eftersom revisionen visar hur processerna faktiskt fungerar i verksamheten.
Gemensam ledningens genomgång
Ledningens genomgång kan också samordnas. Ledningen kan följa upp kvalitet, miljö och informationssäkerhet i samma forum, men med tydliga punkter för respektive standard.
Det gör det lättare att fatta samlade beslut om resurser, risker, mål, avvikelser och förbättringar.
Få hjälp att samordna ert ledningssystem
Vad skiljer ISO 27001 från de andra?
Även om ISO 27001 kan integreras med ISO 9001 och ISO 14001 har informationssäkerhet flera krav som skiljer sig från kvalitet och miljö.
Det är därför viktigt att inte bara “lägga till några IT-dokument” i ett befintligt ledningssystem. ISO 27001 kräver särskild kompetens och ett tydligt informationssäkerhetsperspektiv.
Informationsklassning
ISO 27001 kräver att organisationen förstår vilken information som är viktig, känslig eller affärskritisk. Det kan handla om personuppgifter, kunddata, ritningar, systemkod, avtal, teknisk dokumentation eller interna processer.
Informationsklassning hjälper organisationen att bedöma hur information ska skyddas utifrån konfidentialitet, riktighet och tillgänglighet.
Detta skiljer sig från ISO 9001 och ISO 14001, där fokus ligger på kvalitet, kundkrav, processer, miljöaspekter och miljöpåverkan.
Riskbedömning av informationstillgångar
Alla tre standarderna innehåller riskbaserat tänkande, men riskerna ser olika ut.
I ISO 9001 handlar risker ofta om kvalitet, kundnöjdhet, processer och leveransförmåga. I ISO 14001 handlar risker och möjligheter om miljöaspekter, miljöpåverkan och bindande krav. I ISO 27001 handlar riskerna om informationstillgångar och informationssäkerhet.
Det kan till exempel röra sig om:
- Obehörig åtkomst
- Dataläckor
- Förlust av information
- Bristande tillgänglighet
- Felaktig eller manipulerad information
- Leverantörsrelaterade säkerhetsrisker
- Brister i behörighetshantering
- Otillräcklig incidenthantering
- Risker i molntjänster och IT-system
- Bristande säkerhetsmedvetenhet
Därför behöver riskmetodiken anpassas så att den fångar informationssäkerhetsrisker på rätt nivå.
Statement of Applicability, SoA
En unik och central del i ISO 27001 är Statement of Applicability, ofta kallat SoA.
SoA visar vilka kontroller i Bilaga A som är tillämpliga, varför de har valts, hur de är införda och om några kontroller har valts bort.
Detta dokument finns inte på samma sätt i ISO 9001 eller ISO 14001. SoA är därför en viktig skillnad när informationssäkerhet integreras i ett befintligt ledningssystem.
Läs mer om ”vad SoA innebär”
Leverantörsstyrning av IT och informationssäkerhet
Leverantörer är viktiga i alla ledningssystem, men i ISO 27001 får IT-leverantörer, molntjänster, systempartners och personuppgiftsbiträden särskild betydelse.
Organisationen behöver förstå vilka externa aktörer som påverkar informationssäkerheten, vilka krav som ska ställas och hur leverantörerna ska följas upp.
Det kan handla om:
- Molntjänster
- Driftleverantörer
- IT-support
- Systemleverantörer
- Konsulter
- Datacenter
- Personuppgiftsbiträden
- Säkerhetsleverantörer
Här behövs ofta både informationssäkerhetskompetens, teknisk förståelse och en tydlig koppling till avtal och uppföljning.
Incidenthantering
ISO 27001 kräver också struktur för informationssäkerhetsincidenter. Det kan handla om misstänkta dataläckor, obehörig åtkomst, phishing, driftstörningar, felaktig behörighet eller förlorad utrustning.
Incidenthantering behöver kopplas till rapportering, ansvar, åtgärder, lärande och förbättring. För organisationer som även påverkas av GDPR eller NIS2 blir detta särskilt viktigt.
Fördelar med integrerat ledningssystem
Att integrera ISO 27001 med ISO 9001 och ISO 14001 kan ge stora praktiska fördelar.
I stället för att bygga flera parallella system kan organisationen skapa ett gemensamt styrningssystem där kvalitet, miljö och informationssäkerhet hanteras på ett samordnat sätt.
Färre dokument
Med ett integrerat ledningssystem kan flera dokument samordnas. Det kan minska antalet policyer, rutiner, mallar och instruktioner.
Exempel på dokument som ofta kan samordnas är:
- Verksamhetspolicy
- Dokumentstyrningsrutin
- Rutin för internrevision
- Rutin för ledningens genomgång
- Rutin för avvikelsehantering
- Rutin för korrigerande åtgärder
- Rutin för mål och uppföljning
- Rutin för kompetens och utbildning
Där informationssäkerhet har särskilda krav kompletteras systemet med specifika rutiner, exempelvis riskhantering för informationstillgångar, incidenthantering eller SoA.
Samordnade revisioner
Internrevisioner och externa revisioner kan ofta planeras mer effektivt när ledningssystemen är integrerade.
En internrevision kan till exempel granska en process ur flera perspektiv samtidigt: kvalitet, miljö och informationssäkerhet.
Det ger en mer realistisk bild av hur verksamheten fungerar och minskar risken för dubbelarbete.
Gemensam plattform
Ett integrerat ledningssystem fungerar bäst när dokument, risker, mål, avvikelser, revisioner och uppföljning finns samlat.
Med Spineweb kan organisationen samla arbetet med ISO 9001, ISO 14001 och ISO 27001 i en gemensam plattform. Det gör det enklare att hålla ledningssystemet levande och att följa upp krav, ansvar och åtgärder över tid.
Mer sammanhängande styrning
När ledningssystemen integreras blir det lättare för ledningen att se helheten. Kvalitet, miljö och informationssäkerhet påverkar ofta varandra.
Exempel:
- En ny digital tjänst kan påverka kundkvalitet, informationssäkerhet och leverantörsrisker.
- En ny leverantör kan påverka kvalitet, miljökrav och hantering av information.
- En incident kan påverka både kundförtroende, informationssäkerhet och verksamhetens kontinuitet.
- En processförändring kan skapa både effektiviseringar och nya risker.
Ett integrerat ledningssystem gör det lättare att fatta beslut utifrån helheten, inte utifrån separata stuprör.
Lättare att underhålla
Ett separat ledningssystem för varje standard kan snabbt bli svårt att underhålla. Dokument dupliceras, revisioner krockar och ansvar blir otydligt.
När systemen integreras blir det enklare att hålla ordning på:
- Vem som ansvarar för vad
- Vilka dokument som gäller
- Vilka mål som följs upp
- Vilka avvikelser som är öppna
- Vilka risker som behöver hanteras
- Vilka beslut som fattats i ledningens genomgång
Det gör ledningssystemet mer användbart i vardagen.
Spineweb som plattform för ISO 9001, ISO 14001 och ISO 27001
Spineweb är ett digitalt stöd för ledningssystem och kan användas för att samla flera standarder i samma plattform.
För ett integrerat ledningssystem kan Spineweb stödja bland annat:
- Dokumenthantering
- Riskhantering
- Lagbevakning
- Leverantörsuppföljning
- Mål och mätetal
- Ärendehantering
- Avvikelsehantering
- Internrevision
- Uppföljning av åtgärder
Det gör Spineweb särskilt relevant för organisationer som vill samordna ISO 27001 med ISO 9001 och ISO 14001.
I stället för att ha kvalitet, miljö och informationssäkerhet utspritt i olika dokument, system och mappar kan ni skapa en gemensam struktur för hela ledningssystemet.
Utforska olika möjligheter med Spineweb:
- Spineweb
- Spineweb Dokumenthanteringssystem
- Spineweb Riskhantering
- Spineweb Lagbevakning
- Spineweb Mål och mätetal
- Spineweb Ärendehanteringssystem
Tidigare kundcase för integrerat ledningssystem
Läs mer om hur adesso Sweden AB tillsammans med Ecowise byggde ett integrerat ledningssystem enligt ISO 9001, 14001 och 27001. Kundcaset beskriver hur kvalitet, miljö och informationssäkerhet samlades i ett gemensamt och praktiskt arbetssätt med stöd av Spineweb. Fokus låg på att skapa ett system anpassat för den dagliga verksamheten inom IT och digitala tjänster, där informationssäkerhet är en central del av kundernas förtroende och företagets långsiktiga utveckling.
Hur Ecowise hjälper er att integrera ISO 27001
Ecowise hjälper organisationer att bygga, utveckla och integrera ledningssystem. Om ni redan arbetar med ISO 9001 eller ISO 14001 kan vi hjälpa er att införa ISO 27001 utan att skapa ett onödigt separat system.
Vi kan hjälpa er att ta fram ett ledningssystem för informationssäkerhet som är fullt anpassat efter er verksamhet och fungerar i praktiken. Konsulthjälpen kan omfatta ett helhetsansvar för hela implementeringen och certifieringen, eller så kan vi stötta er i valda delar.
Vi kan till exempel hjälpa er med:
- Gap-analys mot ISO 27001
- Genomgång av befintligt ledningssystem
- Integrering med ISO 9001 och ISO 14001
- Scope och projektplan
- Riskhantering för informationstillgångar
- Informationsklassning
- Statement of Applicability
- Policyer och rutiner
- Leverantörsstyrning
- Incidenthantering
- Internrevision
- Ledningens genomgång
- Implementering i Spineweb
- Förberedelse inför certifiering
Målet är att skapa ett ledningssystem som är samordnat, användbart och enkelt att underhålla.
Ta hjälp med integrerat ledningssystem
Vanliga frågor om integrerade ledningssystem
Kan ISO 27001 integreras med ISO 9001?
Kan ISO 27001 integreras med ISO 14001?
Behöver vi separata policyer för varje standard?
Vad är fördelen med ett integrerat ledningssystem?
Vad är unikt med ISO 27001?
Kan Spineweb användas för flera ISO-standarder?
Vill ni integrera ISO 27001 med ert befintliga ledningssystem?
Om ni redan arbetar med ISO 9001 eller ISO 14001 behöver ISO 27001 inte bli ett separat sidospår. Med rätt struktur kan informationssäkerhet integreras i ert befintliga ledningssystem och bli en naturlig del av verksamhetens styrning.
Ecowise hjälper er att samordna kraven, undvika dubbelarbete och skapa ett ledningssystem som fungerar i praktiken.
Kontakta Ecowise så hjälper vi er att integrera ISO 27001 med ISO 9001, ISO 14001 och Spineweb.