Ledningssystem för informationssäkerhet (LIS)

Ett LIS är en organisations processer för styrning och ledning av informationssäkerhetsarbetet. Dessa processer ska utvärderas löpande och anpassas till aktuella verksamhets- och omvärldskrav. En central del i ett ledningssystem är ledningens uttalade stöd. Ledningen bör också se till att organisationen antar en policy för informationssäkerhetsarbetet. I ytterligare styrdokument, riktlinjer och liknande kan sedan den högsta ledningen ge vägledning till chefer och övriga medarbetare.

I riktlinjer är det vanligt att det förs in bestämmelser om till exempel:

• användning av internet och e-post
• åtgärder till skydd mot skadlig kod
• fysisk säkerhet
• incidenthantering
• kontinuitetsplanering
• mobilt arbete
• inventarier och licenser
• behörighetsadministration
• loggning.

Det är viktigt att alla i en organisation känner till och förstår innehållet i policys och riktlinjer. Erfarenheten visar tydligt vikten av att anställda uppvisar ett säkert beteende i sitt dagliga arbete. En stor del av arbetet med att driva ett ledningssystem handlar därför om att informera medarbetare om de regler som ingår i ledningssystemet.

SS-ISO/IEC 27000

Den svenska och internationella standardserien SS-ISO/IEC 27000 visar på ett sådant ledningssystem där säkerhetsnivån tar sin utgångspunkt i en verksamhetsanpassad riskanalys, och där informationssäkerhetsarbetet följer en tydlig process.

Tillämpning av standarderna i denna serie underlättar arbetet med informationssäkerhet inom organisationer och förbättrar också möjligheterna att externt bedöma säkerhet och revidera denna på ett enhetligt sätt.