Standarder & dokumentation

ISO 27001

Skriven av Pirkka Paronen

Granskad av Tomi Lehtinen

Nyckelpunkter

Definierar krav för att etablera och underhålla ett ledningssystem för informationssäkerhet (ISMS).
Täcker konfidentialitet, integritet och tillgänglighet av data.
Kräver systematisk riskbedömning och behandling av informationssäkerhetsrisker.
Kritisk för molnbaserade PTW- och SaaS-plattformar som hanterar känslig operativ data.

Definition

Standard för informationssäkerhetsledning.

Relaterade termer

Zero Trust-säkerhetsmodell

Zero Trust är en cybersäkerhetsmodell byggd på principen "lita aldrig, verifiera alltid" — vilket innebär att ingen användare, enhet eller system automatiskt betros, oavsett om de befinner sig inom eller utanför företagsnätverket. Varje åtkomstbegäran måste kontinuerligt autentiseras, auktoriseras och valideras innan åtkomst beviljas. Detta representerar ett fundamentalt skifte från traditionella perimeterbaserade säkerhetsmodeller som antog att allt inom företagsnätverket var pålitligt. I kontexten av industriell säkerhet och arbetstillståndssystem är Zero Trust särskilt relevant eftersom dessa plattformar hanterar säkerhetskritisk data och arbetsflöden där obehörig åtkomst kan ha livshotande konsekvenser. Ett Zero Trust-tillvägagångssätt kombinerar flera nyckelelement: stark identitetsverifiering genom SSO och MFA, rollbaserad åtkomstkontroll (RBAC), enhetshälsoverifiering och kontinuerlig sessionsövervakning. Zero Trust minimerar också effekten av säkerhetsintrång genom principen om minsta privilegium och nätverkssegmentering. Implementering är vanligtvis en inkrementell process som börjar med stark identitetshantering och utvecklas stegvis.

Multifaktorautentisering (MFA)

Multifaktorautentisering (MFA) är en säkerhetsmekanism som kräver att användare tillhandahåller två eller fler oberoende verifieringsfaktorer innan åtkomst beviljas till ett system. Dessa faktorer faller i tre kategorier: något användaren vet (lösenord eller PIN), något användaren har (mobilenhet, hårdvarusäkerhetsnyckel eller autentiseringstoken) och något användaren är (biometrisk data som fingeravtryck eller ansiktsigenkänning). Genom att kräva flera faktorer säkerställer MFA att även om en faktor komprometteras — till exempel ett stulet lösenord — kan en angripare inte komma åt systemet utan de ytterligare verifieringsfaktorerna. I kontexten av industriell säkerhet och arbetstillståndssystem är MFA kritiskt viktigt eftersom dessa plattformar innehåller känslig data om personalens kvalifikationer, aktiva tillstånd, farliga förhållanden och säkerhetskritiska godkännandeflöden. Obehörig åtkomst skulle kunna möjliggöra manipulation av tillståndsvillkor, kringgående av säkerhetskontroller eller utfärdande av tillstånd av okvalificerade individer. Moderna MFA-implementeringar erbjuder användarvänliga metoder inklusive push-notiser, tidsbaserade engångslösenord (TOTP), SMS-koder, hårdvarusäkerhetsnycklar och biometrisk autentisering. I kombination med SSO lägger MFA bara till sekunder i inloggningsprocessen.

Enkel inloggning (SSO)

Single Sign-On (SSO) är en autentiseringsmekanism som gör det möjligt för användare att logga in en gång med en enda uppsättning inloggningsuppgifter och sedan få åtkomst till flera anslutna applikationer och system utan att behöva autentisera sig på nytt för varje. I industriella miljöer där arbetare rutinmässigt interagerar med flera mjukvaruplattformar — som arbetstillståndssystem, underhållshanteringssystem, ERP-plattformar och säkerhetsrapporteringsverktyg — eliminerar SSO behovet av separata användarnamn och lösenord för varje applikation. Detta är särskilt värdefullt vid skiftbyten och i snabba driftsmiljöer där tid som spenderas på upprepade inloggningar direkt påverkar produktiviteten. SSO fungerar genom att etablera en tillitsrelation mellan en central identitetsleverantör (IdP) — som Microsoft Entra ID, Okta eller Google Workspace — och de anslutna applikationerna. Från ett säkerhetsperspektiv minskar SSO risken för svaga eller återanvända lösenord, förenklar avregistreringsprocessen vid personalavgång och ger centraliserad kontroll över autentiseringspolicyer. Eftersom SSO koncentrerar autentisering till en enda åtkomstpunkt är det dock viktigt att kombinera SSO med multifaktorautentisering (MFA).

Rollbaserad åtkomstkontroll (RBAC)

Rollbaserad åtkomstkontroll (RBAC) är ett säkerhetsramverk som begränsar systemåtkomst genom att tilldela behörigheter till organisatoriska roller snarare än till enskilda användare. Varje användare tilldelas en eller flera roller — som tillståndsökande, områdesansvarig, säkerhetsansvarig, PTW-koordinator eller platschef — och varje roll har en fördefinierad uppsättning behörigheter som bestämmer vilka åtgärder användaren kan utföra. I arbetstillståndssystem är RBAC avgörande eftersom olika deltagare i tillståndsprocessen har distinkta ansvar och befogenhetsnivåer. Till exempel kan en tillståndsökande skapa förfrågningar men inte godkänna sina egna tillstånd; en områdesansvarig kan godkänna tillstånd för sitt område men inte för andra; en PTW-koordinator har översikt över alla aktiva tillstånd men kanske inte har befogenhet att godkänna specifika högrisktyper. RBAC säkerställer att dessa gränser systematiskt upprätthålls av plattformen istället för att förlita sig på manuell efterlevnad. Vid personalförändringar förenklar RBAC åtkomsthantering — uppdatering av rolltilldelningen justerar automatiskt alla tillhörande behörigheter. RBAC är en grundläggande komponent i både ISO 27001 och Zero Trust-säkerhetsarkitekturer.

Programvara som tjänst (SaaS)

SaaS är en molnbaserad leveransmodell för programvara där användare får åtkomst till applikationer via internet utan lokal installation. Det möjliggör skalbarhet, fjärråtkomst och kontinuerliga uppdateringar.

Mer i Standarder & dokumentation

HSE / HSEQ / HSSE

Dessa förkortningar avser hälsa, säkerhet, miljö och ibland kvalitet eller security. De representerar nyckelområden inom industriell verksamhet.

RAMS

RAMS (Risk Assessment and Method Statement) är ett kombinerat säkerhetsdokument som parar en grundlig riskbedömning med en detaljerad beskrivning av hur arbetet ska utföras säkert, steg för steg. Det är ett av de mest använda säkerhetsplaneringsdokumenten inom bygg-, olje- och gas-, energi- och tung industriprojekt. Riskbedömningskomponenten identifierar alla faror förknippade med arbetsaktiviteten, utvärderar sannolikheten och allvarlighetsgraden för varje risk och specificerar de kontrollåtgärder som krävs. Metodbeskrivningskomponenten ger sedan en sekventiell beskrivning av hur arbetet ska utföras med de identifierade kontrollerna inbyggda i varje steg. Detta tillvägagångssätt säkerställer att säkerhetsöverväganden är inbäddade direkt i arbetsmetodiken snarare än behandlade som ett separat tillägg. RAMS-dokument förbereds vanligtvis av entreprenören eller arbetslaget och måste granskas och godkännas av platsens säkerhetsteam eller tillståndsgivare innan arbete påbörjas. De fungerar som ett nyckeldokument i arbetstillståndsprocessen — ett tillstånd kan inte utfärdas för komplext arbete utan ett godkänt RAMS. I praktiken fungerar RAMS även som ett kommunikationsverktyg vid säkerhetsgenomgångar.

Räddningsplan

En räddningsplan är ett dokumenterat nödåtgärdsförfarande som definierar exakt hur arbetare ska räddas om en incident inträffar under högriskarbete. Det är ett obligatoriskt krav för arbete som äger rum i miljöer där standardevakueringsrutiner kan vara otillräckliga — inklusive arbete i slutna utrymmen, på höjd, över vatten och på avlägsna platser. Räddningsplanen måste vara specifik för arbetsaktiviteten och platsen, inte ett generiskt dokument, eftersom räddningskraven varierar dramatiskt beroende på typ av fara, fysisk miljö och antal arbetare. En omfattande räddningsplan identifierar räddningsteamets medlemmar och deras roller, specificerar räddningsutrustning som måste finnas på plats (som selar, vinschar, andningsutrustning och första hjälpen-material), definierar kommunikationsprotokoll för att aktivera räddningsinsatsen och beskriver tillträdes- och utrymningsvägar. Räddningsplanen måste kommuniceras till alla arbetare innan arbetet påbörjas — vanligtvis under säkerhetsgenomgången — och bör övas där det är praktiskt möjligt. I arbetstillståndssystem är räddningsplanen en förutsättning för tillståndsutfärdning: tillståndet kan inte godkännas förrän en platsspecifik räddningsplan har granskats och accepterats.

Personlig skyddsutrustning (PPE)

Personlig skyddsutrustning (PPE) omfattar all utrustning, kläder och anordningar som bärs eller används av arbetare för att skydda dem mot arbetsplatsfaror som inte kan elimineras helt genom andra kontrollåtgärder. I kontrollhierarkin — det universellt accepterade ramverket för hantering av arbetsplatsrisker — är PPE placerat som den sista försvarslinjen, som används först när faror inte kan kontrolleras tillräckligt genom eliminering, substitution, tekniska eller administrativa åtgärder. Vanliga PPE-kategorier i industriella miljöer inkluderar huvudskydd (skyddshjälmar), ögon- och ansiktsskydd (skyddsglasögon, visir), hörselskydd (öronproppar, hörselkåpor), andningsskydd (masker, andningsskydd), handskydd (handskar), fotskydd (skyddsskor), fallskydd (selar) och specialkläder (flamresistenta overaller, kemikaliedräkter, varselvästar). Valet av lämplig PPE måste baseras på de specifika faror som identifierats i riskbedömningen — att använda fel typ av PPE kan vara lika farligt som att inte använda någon alls. I arbetstillståndsprocessen specificeras obligatorisk PPE uttryckligen på tillståndsdokumentet baserat på uppgiftens riskbedömning, och verifiering att alla arbetare har korrekt PPE är en förutsättning för att arbete ska påbörjas.

Visa alla 12 Standarder & dokumentation termer →