Blogg | Publitech

Så skyddar ett certifierat LIS din kommuns lönesystem (ISO 27001 i praktiken)

Skriven av Björn Nordle | den 17 november 2025 13:55:17 Z

I den offentliga sektorn hanteras känslig information varje dag – och inget är viktigare än löner. Säkerhet handlar inte bara om brandväggar och antivirus, utan om att kunna visa att informationen verkligen är trygg.

Ett ledningssystem för informationssäkerhet (LIS), certifierat enligt ISO 27001, ger dig just det.

Vad är ett LIS?

Många tror att informationssäkerhet handlar om brandväggar och antivirusprogram. ISO 27001 visar motsatsen: säkerhet är en process, inte en produkt.

  • Ett LIS (ledningssystem för informationssäkerhet) är ett systematiskt ramverk som ser till att en organisation hanterar informationssäkerhet på ett strukturerat sätt.

  • Det handlar om att kontinuerligt identifiera, bedöma och hantera risker.

    Kärnprinciper i ett LIS:

  • Systematiskt arbete: Säkerheten är inbyggd i organisationens processer, inte beroende av en enskild person.

  • Kontinuerlig förbättring: Genom cykeln Planera-Göra-Kontrollera-Agera utvecklas säkerheten i takt med nya hot.

  • Tredjepartskontroll: En oberoende part verifierar att systemet uppfyller ISO 27001, världens mest erkända standard för informationssäkerhet.

    Kort sagt: LIS är systemet, ISO 27001 är standarden som verifierar systemet.

Varför behövs ett LIS?

Ett certifierat LIS garanterar att säkerheten inte bara är en teknisk fråga. Ledning och medarbetare måste vara engagerade. I ett effektivt LIS finns tydliga ansvarsområden:

  • Information Security Management Committee – sätter riktningen för säkerhetsarbetet.

  • Information Security Board – driver säkerhetsarbetet framåt och hanterar risker och avvikelser.

  • Security Engineers – integrerar säkerhet i utvecklingsprocessen.

  • Information Security Manager – ansvarar för efterlevnad, säkerhetskalender och utbildning.

  • Data Protection Manager – övervakar GDPR-efterlevnad.

  • Management reviews och intern/extern revision – säkerställer att LIS följer ISO 27001-krav.

Alla anställda är en del av säkerhetsarbetet genom:

  • Årlig obligatorisk utbildning i informationssäkerhet

  • Fokus på GDPR-efterlevnad, vilket är avgörande när löneinformation hanteras.

Varför krävs ISO 27001?

I upphandlingssammanhang ställs ofta krav på ISO 27001. Det är viktigt att förstå varför:

ISO 27001-certifieringen är beviset på att leverantören inte bara pratar säkerhet, utan har ett fullt fungerande, testat och granskat system för att skydda känslig information. Det är garantin för ett strukturerat, långsiktigt och ansvarsfullt säkerhetsarbete.

 Ad hoc-arbete vs. Systematiskt LIS

Område Ad hoc (utan LIS) Certifierat LIS (ISO 27001)
Säkerhetspolicy Skriver vid behov, riskerar att glömmas bort Regelbundet granskade, godkända av ledning, obligatoriska för alla
Riskhantering Reagerar efter incidenter Proaktivt identifierar och hanterar risker innan incidenter uppstår
Kompetens Vissa medarbetare har koll Alla medarbetare har basnivå av säkerhetskompetens genom utbildning
Revision Intern kontroll Extern revision av oberoende certifieringsorgan

Sammanfattning

Ett certifierat LIS med ISO 27001 är trygghet, struktur och ansvar – precis vad som behövs för att skydda medborgarnas känsliga löneinformation.
Visa hela inlägget