ISO/IEC 27001: Sådan styrker du din informationssikkerhed – og bliver klar til en certificering

En ISO/IEC 27001 er ikke kun for offentlige organisationer.

‍

Det er også en fordel for virksomheder, der vil have et bevis på deres troværdighed og styrke deres omdømme. Og virksomheder, der vil have hjælp til at finde huller i deres informationssikkerhed.‍

‍

De fleste virksomheder er under mindst én af de to kategorier, vil jeg vove at påstå.

‍

Så læs med, når jeg fortæller dig mere om, hvad ISO/IEC 27001 er for en størrelse - og hvordan du kører din virksomhed i stilling til en certificering.

‍

‍Hvad er ISO/IEC 27001?

ISO/IEC 27001:2022 er en international standard for informationssikkerhed, som er anerkendt som 'best practice’ i forhold til at etablere, implementere, vedligeholde og løbende forbedre et ledelsessystem for informationssikkerhed (ISMS).

‍

Standarden er altså først og fremmest et ledelsesværktøj, der hjælper din organisation med at beskytte værdifuld information og at strukturere din informationssikkerhed.

‍

Den lægger også op til, hvad du skal implementere af sikkerhedsforanstaltninger, politikker og procedurer, der er relevante for din virksomhed.

‍

ISO 27001 lister også krav til din virksomheds:

• Risikostyring
• Dokumentation af processer
• Fordeling af roller og ansvar for informationssikkerhed

‍

Formålet med ISO 27001 er at opnå effektiv informationssikkerhedsstyring, der passer til din konkrete organisation samt sikre, at I vedligeholder og forbedrer den gennem en fastsat proces.

Hvornår skal du følge ISO 27001?

Alle statslige myndigheder er pålagt at følge principperne i ISO 27001. Men kravene i standarden er generiske og henvender sig derfor til alle typer organisationer. Uanset om de er offentlige eller private, og uanset deres branche eller størrelse.

‍

Dog ser vi, at der er nogle bestemte virksomheder, som har særlig gavn af at følge ISO 27001. Det gælder virksomheder, som:

• Håndterer eller opbevarer fortrolige personoplysninger, som fx sundhedsvirksomheder, og finansinstitutter
• Opererer i strengt regulerede sektorer som fx energi og telekommunikation, der er underlagt NIS2-reglerne
• Vil ‘bevise’ et højt niveau af sikkerhed over for interessenter og kunder som fx teknologi- og softwareudviklingsvirksomheder.

‍

Fordi kravene i ISO 27001-standarden er generiske, kan alle organisationer derfor også søge om at blive certificeret i henhold til ISO 27001-standarden.

‍

Med sådan en blåstempling har organisationen dokumentation for, at den efterlever kravene i standarden.

‍

Hvad er en ISO 27001-certificering – og hvordan får du en?

For nogle virksomheder er det nok at følge ISO 27001-standarden for at kunne bevise, at deres informationssikkerhed er skudsikker.

‍

For andre virksomheder kan en ISO 27001-certificering være et krav fra fx staten eller fra kunder eller være en konkurrencefordel.

‍

Uanset formålet med en ISO 27001-certificering, følger implementerings-processen typisk disse 5 trin:

‍

#1: Forstå din virksomheds sikkerhedskrav, og definér jeres ISMS-scope. Baseret på dine analyser hér skal du implementere passende sikkerhedspolitikker og mål.

‍

#2: Lav en risikovurdering for at identificere og vurdere potentielle trusler og sårbarheder. Baseret på denne vurdering kan du lave en risikohåndteringsplan og implementere sikkerhedskontroller, som ISO 27001-standarden beskriver (fx informationssikkerhedspolitik, adgangskontrol og kryptering).

‍

‍

#3: Udarbejd alle politikker og procedurer, der skal understøtte de kontroller, du skal følge. Politikkerne skal beskrive, hvilke sikkerhedsforanstaltninger I implementerer for at følge en kontrol, og en procedure skal beskrive, hvordan I konkret skal gøre det.

‍

‍#4: Følg jeres politikker og procedurer, og før kontrol med, at det bliver gjort.

‍

#5: Udfør en intern revision. Hvis revisionen er vellykket, kan du søge om certificering hos et akkrediteret og uafhængigt certificeringsorgan. I Danmark kan det fx være Bureau Veritas Danmark og SGS Denmark. Den eksterne auditor vil så lave en certificeringsrevision for at fastslå, om din virksomheds ISMS opfylder alle krav i ISO 27001-standarden. Hvis alt er tiptop, vil din virksomhed få ISO 27001-certificeringen.

‍

Hvad koster en ISO 27001-certificering?

Udgifterne til en ISO 27001-certificering kan variere meget, alt efter din virksomheds størrelse og kompleksitet, hvor ‘modne’ I er i forvejen på jeres ISMS, hvilken type data I håndterer, og hvilket certificeringsorgan I vælger.

‍

Typisk skal I tage højde for de udgifter, der er forbundet med:  

1. ‍Implementering, da det koster tid, ressourcer og eventuelt konsulenttjenester at opbygge og implementere jeres ISMS.‍
2. Awareness og træning, da det kan være nødvendigt at forbedre dine medarbejderes forståelse for og viden om ISO 27001.‍
3. Certificering, hvor udgifter går til både tilsynet og selve certificeringen.
4. ‍Vedligeholdelse, da ISO 27001-compliance – ligesom alt andet compliance-arbejde – ikke er en engangsopgave, men kræver en løbende indsats. En ISO 27001-certificering skal typisk fornyes hvert tredje år efter en genrevision.

‍

Mine ComplyCloud-kolleger og jeg kan hjælpe din virksomhed med 1) implementering, 2) awareness og træning samt 4) vedligeholdelse på en langt mere omkostningseffektiv måde, end du normalt støder på.

‍

Sådan kan ComplyCloud køre dig i stilling til en ISO 27001-certificering

Arbejdet mod ISO 27001-compliance – og ISMS-arbejdet generelt – kan være en stor økonomisk mundfuld, især for mindre organisationer.

‍

I vores compliance-platform får du et struktureret overblik over din organisations ISMS. Du kan aktivere det eller de framework(s) - bl.a. ISO 27001 - som du ønsker at implementere. Hérfra sørger vi for, at du og dit team automatisk får tildelt relevante kontroller og opgaver.

‍

‍Som prikken over j’et, kan du bruge vores ISMS-kontroller til at klare flere opgaver på én gang, hvis I arbejder på tværs af frameworks og derfor kan være pålagt opgaver, der overlapper.

‍

Vil du vide mere om vores ISMS-kontroller? Ræk ud til mig eller én af vores andre eksperter.