Ett metodiskt stöd, skräddarsytt för arbetet med standarder för informationssäkerhet inom ISO 27000. Så kan det digitala verktyget SIS-ESM beskrivas.

ESM står för Enterprise Security Modeller och är ett stödsystem som har utvecklats av det svenska företaget Innovate Security. I ett nära samarbete mellan Innovate Security och Svenska institutet för standarder föddes SIS-ESM, vars senaste version ytterligare förstärker kopplingen till den globala informationssäkerhetsstandarden ISO 27001.

– Vi på Innovate Security utvecklar produkter och tjänster som effektiviserar företags och organisationers arbete med informationssäkerhet. Eftersom det här är ett brett och komplext område ville vi integrera en bra standard i vårt system. Där blev ISO 27000-serien den naturliga lösningen, förklarar Tim Sönderskov, vd på Innovate Security.

Ett brett verktyg för systematiskt arbete med informationssäkerhet

En av utgångspunkterna för SIS-ESM är att varje företag och organisation behöver en tydlig, enhetlig bild över hur informationssäkerhetsarbetet ska bedrivas. Det innebär bland annat att det måste finnas en samstämmighet kring vad som ska betraktas som viktiga system och affärskritiska processer.

– Först då går det att skapa förutsättningar för att kunna leva upp till olika säkerhetskrav och standarder, påpekar Anders Fristedt, en av Innovate Security-grundarna och produktchef för ESM.

SIS-ESM har ett mycket brett användningsområde och ger bland annat stöd vid olika riskanalyser. Det digitala verktyget underlättar till exempel underhållet av säkerhetsarkitektur, mätningar av hur regelverk efterlevs och hanteringen av persondata i HR-sammanhang. Bland slutanvändarna finns såväl industri- som tjänsteföretag, finansiella institutioner, försäkringsbolag, kommuner, högskolor och myndigheter.

– Syftet med verktyget är att få till arbetsprocesser som hjälper till att sortera olika delar och tydliggör uppgifter för exempelvis systemägare och leverantörer. Det finns även mallar som kan användas vid uppföljande kontroller, framhåller Anders Fristedt.

Stöd för GDPR och certifiering enligt ISO 27001

Många uppskattar också att SIS-ESM täcker viktiga delar av den europeiska dataskyddsförordningen GDPR. Framför allt gäller det behandlingen av register. Verktyget är också effektivt när det gäller att utforma olika informations- och säkerhetsklassificeringar. 

– En annan stor fördel är att SIS-ESM underlättar certifieringsprocessen. Det har vi egen erfarenhet av – vår certifiering enligt ISO 27001 blev klar i juni, mitt under coronapandemin, berättar Tim Sönderskov.

I stället för att hantera mängder av pappersdokument och pärmar fick certifieringsorganet tillgång till allt underlag från Innovate Security i digital form.

– Det sparade mycket tid för oss alla. Hela processen blev väldigt transparent och tydlig, och allt gick oerhört smidigt. 

SIS-ESM är byggt som ett komplement till marknadens befintliga system för dokument- och ärendehantering. Nästa steg är att integrera verktyget med ännu fler system och att lägga till nya funktioner.

– En av våra drivkrafter är att du som användare på ett enkelt sätt ska kunna visa för andra hur du jobbar med din informationssäkerhet. Ofta är den transparensen en avgörande faktor vid till exempel upphandlingar, betonar Tim Sönderskov.

Text: Lena Lidberg