I november 2024 kom en ny internationell standard: ISO 22340:2024. Den handlar om hur företag och organisationer kan bygga upp ett tydligt och samordnat säkerhetssystem – från digitala skydd till fysisk säkerhet.
Vad är syftet med ISO 22340?
Syftet med ISO 22340 är att ta ett helhetsgrepp på organisationens alla åtgärder för att hantera antagonistiska hot. Tanken är att alla delar av en organisations säkerhetsarbete ska hänga ihop och stötta varandra, så att inga svagheter glöms bort, medan andra blir oproportionerligt kostnadsdrivande.
Säkerhetsarbete driver redan idag stora kostnader får många organisationer, men åtgärderna är ofta spridda över organisationen och saknar en gemensam plan. ISO 22340 lyfter fram behovet av att samla säkerhetsarbetet genom att säkerställa ett helhetsansvar med en ansvarig för hela området i ledningsgruppen.
Fem områden att hålla koll på
Standarden fokuserar på fem viktiga delar:
Styrning av säkerheten – tsamordnade riktlinjer som inkluderar alla säkerhetdomäner och en centralt ansvarig för säkerhetsområdet som helhet i ledningsgruppen.
Personalens säkerhet – handlar om att säkerställa tillförlitlig och lojal personal som inte är säkerhetsrisker eller agerar möjliggörare för externa antagonister.
Informationssäkerhet – säkerställa tillförlitlighet, korrekthet och konfidentialitet av information.
Cybersäkerhet – försvar mot digitala hot från externa källor.
Fysisk säkerhet – skydd av alla fysiska tillgångar och personal.
Hur fungerar ISO 22340 i praktiken?
ISO 22340 förespråkar att organisationer hantera antagonistiska hot hur ett risk perspektiv. Det betyder att man har en uppdatera nulägesbild över vilka relevanta säkerhetsrisker som finns, deras sannolikhet och konsekvens för organisationens förmåga att bedriva sin verksamhet. Fokus och resurser fördelas mellan säkerhetsdomänerna för att säkerställa ett relevant nivå av skyddet inom alla domäner. Standarden vill motverkan att domänerna hanteras separat inom olika delar av organisationen, hanteringen kan fortfarande vara fördelad över organisationen men en gemensam ansvarig med överblick av helheten som anpassar handlingsplanen löpande utifrån relevant nulägesbild.
I praktiken innebär det att exempel vis fysisk säkerhet hanteras av fastighetsansvariga, cybersäkerhet och informationssäkerhet av IT-ansvariga, personal säkerhet av HR men helheten styrs centralt av en ansvarig som säkerställer koordinering och anpassning av åtgärder som helhet. Regler, riktlinjer och policies tar hänsyn till hela säkerhetsområdet och av aktuellt säkerhetsläge.
Vem kan använda den?
Alla organisationer – stora som små, privata som offentliga – kan med fördel använda principerna beskrivna i ISO 22340. En omedelbar fördel med att välja att använda standarden är att säkerställa att de ofta kostsamma åtgärder organisationer behöver vidta på säkerhetssidan är proportionerliga i förhållande till risk och investeringar inom övriga säkerhetsdomäner.
Till exempel kan ett robust cybersäkerhetsarbete bli helt verkningslöst om inte tillförlitligheten hos den interna personalen eller den fysiska accessen till lokaler kan säkerställas. Samtidigt innebär en förståelse för aktuell nulägesbild av säkerhetsrisker också i många fall bidra till att kostsamma investeringar kan undvikas.
Varför är det viktigt?
ISO 22340 är viktigt för att de samordnar och skärper organisationers förmåga att skydda sig mot antagonistiska hot. Att skydda sin verksamhet mot antagonistiska hot är en nödvändighet för alla typer av organisationer oavsett om det gäller bedrägerier, sabotage, informationsläckage eller annan kriminell eller skadlig verksamhet.
En professionell aktör behöver skydda sig, sin verksamhet och sina kunder mot skada oavsett vem som står bakom som en opålitlig anställd eller extern aktör. Säkerhet är idag inte en valfri kostnadspost utan en förutsättning för att vara en trovärdig aktör på marknaden och bidra till ett säkrare samhälle.
Riskbaserat ramverk
Standarden bygger på principer från riskhantering: identifiera risker, analysera påverkan och sannolikhet, och tillämpa lämpliga kontroller. Säkerhet blir därmed en strategisk del av verksamheten – inte enbart kostnad webstore.ansi.orgtheinternationalriskpodcast.com.Samordnad säkerhet över alla områden
Den betonar att alla säkerhetsområden – fysisk, digital, personal, osv. – måste samverka och koordineras inom samma ram. Detta minskar risken att viktiga sårbarheter förbises theinternationalriskpodcast.comISO.Kontinuerlig förbättring och kultur
Styrning, roller och ansvar tydliggörs, och standarden lyfter fram vikten av en trygghetskultur – där personalen känner ägarskap och engagemang för säkerhet. Men även uppföljning av medarbetarnas tillförlitlighet och lojalitet. Fokus ligger också på kontinuerlig förbättring webstore.ansi.orgISO.
Kontakta oss när du behöver strategisk rådgivning i ditt säkerhetsarbete
