Hvad er ISO 27001?

‍Hvad er forskellen på ISO 27001 og 27002?

‍ISO 27001 er en internationalt anerkendt standard for håndtering af informationssikkerhed. Den danner rammen for et ledelsessystem – et såkaldt ISMS (Information Security Management System) – der skal sikre systematisk styring og beskyttelse af informationer. Det er kravene til dette ledelsessystem, der er beskrevet i ISO 27001.

Standarden omfatter en række kontroller og processer, der skal implementeres for at sikre et passende sikkerhedsniveau og dermed et tilfredsstillende ISMS. ISO 27001 bruges til at sikre samt demonstrere, at en organisation tager informationssikkerhed alvorligt, opfylder visse krav og dermed kan opbygge tillid blandt interessenter, kunder og partnere.

ISO 27002 derimod er en vejledning til den liste af foranstaltninger, der findes i Anneks A i ISO 27001. Med andre ord indeholder den implementeringsforslag til de enkelte krav, der fremsættes i ISO 27001.

Hvad indeholder ISO 27001 og hvordan implementeres det?

‍ISO 27001-standarden indeholder i alt 93 foranstaltninger (i praksis står de 93 foranstaltninger i ISO 27002). Foranstaltningerne er inddelt i fire kategorier:

• Organisatoriske
• Menneskelige
• Fysiske
• Teknologiske

Man udvælger selv hvilke af de 93 foranstaltninger, der giver mening for ens organisation at arbejde med. SoA-dokumentet (Statement of Applicability) er et centralt dokument, og et brugbart værktøj, i ISO 27001-processen. Det beskriver, hvilke af de 93 foranstaltninger der er valgt, samt begrundelsen for valget og hvordan de er implementeret.

Implementering af ISO 27001 indebærer oprettelse af et ledelsessystem for informationssikkerhed (ISMS). Dette system hjælper med at håndtere risici og beskytte informationer gennem definerede politikker, procedurer og retningslinjer. En vellykket implementering kræver engagement fra ledelsen, et dedikeret team og en klar forståelse af standardens krav.

Selve implementeringen kræver således en systematisk tilgang, men der er ikke et facit til, hvordan man skal organisere processen eller implementeringen. Først skal organisationen identificere, hvilke kontroller der er relevante baseret på organisationens specifikke risikovurdering. Dernæst skal der udvikles klare politikker og procedurer for hver kontrol, ligesom det skal sikres, at de implementeres korrekt. Endelig skal der etableres en proces for løbende overvågning og revision af kontrollerne for at sikre, at de fortsat er effektive og relevante.

Hvad er en ISO certificering?

En ISO certificering er en officiel bekræftelse på, at en virksomhed lever op til en international standard – i dette tilfælde for arbejdet med informationssikkerhed. Det er en anerkendelse, der både dokumenterer kvalitet og pålidelighed samt kan skabe tillid udadtil.
‍

‍Hvordan får man en ISO 27001 certificering?

For at opnå certificering, skal man bevise, at man har implementeret et ISMS i overensstemmelse med ISO 27001 standarden. Konkret kan processen se sådan her ud: 

• ‍Definér ISMS’ omfang – Identificér hvilke aktiver, teams og processer, der er omfattet.
• Udfør risikovurdering – Analysér trusler, sårbarheder og potentielle konsekvenser.
• Udarbejd sikkerhedspolitikker – Fastlæg retningslinjer i overensstemmelse med ISO.
• Implementér foranstaltninger – Udfør nødvendige sikkerhedsforanstaltninger.
• Overvåg og gennemgå – Evaluer løbende og tilpas foranstaltningerne.
• Gennemfør ekstern audit – Arbejd sammen med et certificeret organ.
• Opnå certificering – Få dit ISO 27001-certifikat efter audit.

Ved at følge denne strukturerede proces kan organisationen opnå de bedste forudsætninger for en ISO certificering. 

Hvad koster en ISO certificering?

‍‍ISO certificeringens pris afhænger af forskellige faktorer, såsom virksomhedens størrelse, herunder antallet af ansatte, jeres produktionstype og antallet af lokationer.

Læs også: