Spring til hovedindhold

Compliance

Hvad er ISO 27001?

ISO 27001 er standarden for informationssikkerhed. Se hvad certificeringen kræver, hvem der har brug for den, og hvordan I efterlever kravene.

Kort sagt

ISO 27001 er den internationale standard for ledelsessystemer for informationssikkerhed, ofte forkortet ISMS.

Standarden beskriver, hvordan en organisation systematisk identificerer sine risici, vælger passende sikkerhedskontroller og dokumenterer, at kontrollerne faktisk virker og vedligeholdes over tid. Den er relevant for alle virksomheder, der håndterer følsomme data eller vil kunne bevise deres sikkerhedsniveau over for kunder, samarbejdspartnere og myndigheder. En certificering fungerer i praksis som et anerkendt kvalitetsstempel i udbud og leverandørvurderinger.

Tre pointer er værd at kende: ISO 27001 er den eneste standard i 27000-familien, man kan certificeres efter, arbejdet bygger på løbende risikovurdering frem for en engangsindsats, og standarden overlapper i høj grad med kravene i NIS2, så de to indsatser kan genbruge hinandens dokumentation. MI Support IT hjælper danske virksomheder med at etablere kontrollerne, dokumentationen og de tekniske løsninger, der skal til for at efterleve ISO 27001.

Tilbage til ordbogen

Hvad er ISO 27001?

ISO 27001 er den internationale standard for informationssikkerhed. Den beskriver kravene til et ISMS (et ledelsessystem for informationssikkerhed), hvor I systematisk kortlægger jeres risici, vælger kontroller til at håndtere dem og dokumenterer, at det hele fungerer i praksis. Standarden dikterer ikke bestemte teknologier; den kræver, at jeres sikkerhedsarbejde er risikobaseret, dokumenteret og løbende forbedret. Det gør ISO 27001 til rygraden i seriøst arbejde med cybersikkerhed, og til det bevis, kunder og myndigheder oftest spørger efter.

Hvad er forskellen på ISO 27001, 27002 og 27005?

De tre standarder hører sammen, men har hver sin rolle:

  • ISO 27001 indeholder kravene til ledelsessystemet. Det er den, I kan certificeres efter.
  • ISO 27002 er en vejledning til de konkrete sikkerhedskontroller (adgangsstyring, kryptering, logning m.fl.), et opslagsværk til, hvordan kontrollerne implementeres.
  • ISO 27005 er en metodestandard for risikovurdering: hvordan I identificerer, analyserer og prioriterer risici.

Kort sagt: 27001 siger hvad der kræves, 27002 hvordan kontrollerne kan udføres, og 27005 hvordan I vurderer risiciene bag valgene. ENISA, EU's cybersikkerhedsagentur, henviser bredt til 27000-familien som fundament for god sikkerhedspraksis.

Hvem har brug for ISO 27001?

Certificering er frivillig, men i praksis bliver den et krav for mange:

  • Leverandører til større virksomheder og det offentlige, hvor certifikatet efterspørges i udbud og leverandørstyring.
  • Virksomheder omfattet af regulering: Kravene i NIS2 og god IT-compliance flugter tæt med standardens kontroller.
  • SaaS- og datatunge virksomheder, der skal bevise, at kundedata er i sikre hænder.

Selv uden certificering er ISO 27001-kravene et stærkt skelet at bygge sikkerhedsarbejdet op omkring.

Hvad koster en ISO 27001-certificering?

Prisen afhænger af flere faktorer end selve certificeringsauditten: organisationens størrelse og kompleksitet, hvor moden jeres nuværende sikkerhed er (gap'et der skal lukkes), om I har interne ressourcer eller skal have hjælp udefra, samt den løbende vedligeholdelse: interne audits, årlige opfølgningsaudits og re-certificering hvert tredje år. Den største post er typisk ikke certifikatet, men arbejdstimerne til at etablere og drive ledelsessystemet. Regn med et forløb over måneder, ikke uger.

ISO 27001 og NIS2: hvordan hænger de sammen?

NIS2 stiller lovkrav om risikostyring, hændelseshåndtering, leverandørsikkerhed og beredskab. Det er områder, ISO 27001-kontrollerne allerede dækker. Et certificeret ISMS er derfor et rigtig godt udgangspunkt for NIS2-efterlevelse: risikovurderinger, politikker og dokumentation kan genbruges direkte. Omvendt gør ISO 27001 jer ikke automatisk NIS2-compliant: Direktivet har egne krav til blandt andet registrering og hændelsesrapportering. Se også Center for Cybersikkerheds vejledninger om systematisk sikkerhedsarbejde.

Sådan hjælper MI Support IT

Vi hjælper med det praktiske fundament under ISO 27001: gap-analyse, implementering af tekniske kontroller som MFA, backup og certifikatstyring via PKI-management, samt løbende drift af sikkerheden gennem IT-sikkerhed. Kontakt os, hvis I vil have en vurdering af, hvor langt I er fra at kunne efterleve standarden.

Skal vi tage en snak om din virksomhed og jeres behov?

Rigtige mennesker taler til rigtige mennesker. Vi vender tilbage samme dag.