Hvad er ISO27001?

Forkortelsen ’ISO’ står for International Organization for Standardization – en uafhængig, ikke-statslig international organisation med 161 nationale standardiseringsorganer. Organisationen faciliterer vidensdeling fra eksperter og fremmer udviklingen af markedsrelevante internationale standarder, der understøtter innovation og giver løsninger på globale udfordringer.

Tallet ’27001’ er fællesbetegnelsen for en række specifikke standarder og krav til, hvordan et ledelsessystem for informationssikkerhed skal implementeres og vedligeholdes i en virksomhed. ISO27001 tager udgangspunkt i en risikobaseret tilgang til styring af informationssikkerhed og standarterne er fastsat for at sætte procedurerne i system.

“Ledelsessystemet for informationssikkerhed bevarer fortrolighed, integritet og tilgængelighed af information ved hjælp af en risikostyringsproces og sikrer, at interessenter har tillid til, at risici håndteres på en ordentlig måde” 

Hvorfor vælge ISO27001?

Alle virksomheder har brand- og tyverialarmer installeret for at forhindre større operationelle trusler. Men data- og informationssikkerheden bør vægtes mindst lige så højt. Ikke nok med at virksomhedskunderne er udsat, hvis informationssikkerheden ikke er i orden, så er der nu indført en række regulativer og forordninger, som foreskriver databeskyttelse for at undgå bøder og straf.

Med en ISO27001-certificering får virksomheden et  førsteklasses ledelsessystem, således at kvaliteten, sikkerheden og effektiviteten er i top.

Samtidig bidrager et ISO27001-certifikat til at fremme international handel, og op imod 85% af alle virksomhedskunder ser certificeringen som tillidsskabende.

Fordele ved at indføre ISO27001

  • Reducering af IT-nedbrud med op til 35%
  • Opfyldelse af krav til internationale udbud
  • Forbedret leverandørstyring
  • Øget sikkerhed i forhold til industrispionage
  • Datalæk som følge af person- eller procedurefejl mindskes
  • Større intern forståelse omkring informationssikkerhed
  • Strømlining og automatisering af informationsprocesser
  • Højnet tillid fra virksomhedskunder
  • Øget konkurrenceevne og kvalitet
  • Reducering af omkostninger
  • Samlet risiko- og sikkerhedsoverblik – Bedre prioritering
iso 27001

Hvem bør ISO27001-certificeres?

ISO27001-standarden anbefales af Finanstilsynet som ”best pratice” for finansielle virksomheder. Den danske stat har dertil valgt ISO27001 som sikkerhedsstandard for alle statslige virksomheder, og certificeringen har været obligatorisk siden januar 2014.

Virksomheder der er leverandører for finansielle eller statslige virksomheder, samt brancher der håndterer større mængder sensitiv data, bør indføre ISO27001-standarden.

ISO27001-certificeringsproces: En trin-for-trin guide

1

ISO27001-standarden og baseline review

Det første trin er at tilegne sig viden om ISO27001-standarden. Dette kan omfatte at læse standarden selv, deltage i uddannelseskurser eller søge rådgivning fra en ekspert.

Herefter gennemfører du en baseline review for at identificere huller i din nuværende informationssikkerhedsstyring i forhold til ISO27001-kravene.

2

Risikovurdering og -behandling

Identificer de risici, din organisation står over for i forhold til informationssikkerhed. Vurder sandsynligheden for, at hver risiko vil opstå, samt dens potentielle indvirkning.

Efter vurdering, skal du afgøre, hvordan hver risiko skal håndteres – accepteres, undgås, overføres, eller mindskes gennem kontrolforanstaltninger.

3

Udvikl og implementer et ISMS

ISMS er et system af politikker, procedurer og kontroller, der hjælper med at styre og mindske risiciene for informationssikkerhed.

Du skal sørge for, at alle relevante elementer af din organisation er inddraget og forpligtede til ISMS.

4

Udfør interne audits

Når ISMS er på plads, skal du gennemføre interne audits for at bekræfte, at det fungerer effektivt og overholder kravene i ISO27001-standarden.

5

Ledelsens review

Ledelsen i din organisation skal gennemgå ISMS regelmæssigt for at sikre, at det fortsat er passende, effektivt og i stand til at styre informationssikkerhedsrisici.

6

Certificeringsaudit og vedligeholdelse 

Efter at have udført interne audits og ledelsens review, kan du ansøge om en certificeringsaudit fra f.eks. LAM. Hvis du består audit, vil du opnå ISO27001-certificering. 

Hvert af disse trin er afgørende for en vellykket ISO27001-certificering. Det kan være en udfordrende proces, men de forbedringer i informationssikkerhed og tilliden fra kunder og partnere, der kommer som resultat, er vel det værd.