Hvad er ISO 27001?
ISO 27001 er den internationale standard for informationssikkerhed. Den beskriver kravene til et ISMS (et ledelsessystem for informationssikkerhed), hvor I systematisk kortlægger jeres risici, vælger kontroller til at håndtere dem og dokumenterer, at det hele fungerer i praksis. Standarden dikterer ikke bestemte teknologier; den kræver, at jeres sikkerhedsarbejde er risikobaseret, dokumenteret og løbende forbedret. Det gør ISO 27001 til rygraden i seriøst arbejde med cybersikkerhed, og til det bevis, kunder og myndigheder oftest spørger efter.
Hvad er forskellen på ISO 27001, 27002 og 27005?
De tre standarder hører sammen, men har hver sin rolle:
- ISO 27001 indeholder kravene til ledelsessystemet. Det er den, I kan certificeres efter.
- ISO 27002 er en vejledning til de konkrete sikkerhedskontroller (adgangsstyring, kryptering, logning m.fl.), et opslagsværk til, hvordan kontrollerne implementeres.
- ISO 27005 er en metodestandard for risikovurdering: hvordan I identificerer, analyserer og prioriterer risici.
Kort sagt: 27001 siger hvad der kræves, 27002 hvordan kontrollerne kan udføres, og 27005 hvordan I vurderer risiciene bag valgene. ENISA, EU's cybersikkerhedsagentur, henviser bredt til 27000-familien som fundament for god sikkerhedspraksis.
Hvem har brug for ISO 27001?
Certificering er frivillig, men i praksis bliver den et krav for mange:
- Leverandører til større virksomheder og det offentlige, hvor certifikatet efterspørges i udbud og leverandørstyring.
- Virksomheder omfattet af regulering: Kravene i NIS2 og god IT-compliance flugter tæt med standardens kontroller.
- SaaS- og datatunge virksomheder, der skal bevise, at kundedata er i sikre hænder.
Selv uden certificering er ISO 27001-kravene et stærkt skelet at bygge sikkerhedsarbejdet op omkring.
Hvad koster en ISO 27001-certificering?
Prisen afhænger af flere faktorer end selve certificeringsauditten: organisationens størrelse og kompleksitet, hvor moden jeres nuværende sikkerhed er (gap'et der skal lukkes), om I har interne ressourcer eller skal have hjælp udefra, samt den løbende vedligeholdelse: interne audits, årlige opfølgningsaudits og re-certificering hvert tredje år. Den største post er typisk ikke certifikatet, men arbejdstimerne til at etablere og drive ledelsessystemet. Regn med et forløb over måneder, ikke uger.
ISO 27001 og NIS2: hvordan hænger de sammen?
NIS2 stiller lovkrav om risikostyring, hændelseshåndtering, leverandørsikkerhed og beredskab. Det er områder, ISO 27001-kontrollerne allerede dækker. Et certificeret ISMS er derfor et rigtig godt udgangspunkt for NIS2-efterlevelse: risikovurderinger, politikker og dokumentation kan genbruges direkte. Omvendt gør ISO 27001 jer ikke automatisk NIS2-compliant: Direktivet har egne krav til blandt andet registrering og hændelsesrapportering. Se også Center for Cybersikkerheds vejledninger om systematisk sikkerhedsarbejde.
Sådan hjælper MI Support IT
Vi hjælper med det praktiske fundament under ISO 27001: gap-analyse, implementering af tekniske kontroller som MFA, backup og certifikatstyring via PKI-management, samt løbende drift af sikkerheden gennem IT-sikkerhed. Kontakt os, hvis I vil have en vurdering af, hvor langt I er fra at kunne efterleve standarden.