ISO 27001

ISO 27001 er den internationalt anerkendte standard for Information Security Management Systems (ISMS). Standarden specificerer kravene til at etablere, implementere, vedligeholde og løbende forbedre et informationssikkerhedsstyringssystem.

Kerneprincippet

ISO 27001 bygger på en risikobaseret tilgang til informationssikkerhed. I stedet for at foreskrive specifikke tekniske løsninger kræver standarden, at organisationer:

1. Identificerer informationsaktiver og deres værdi
2. Vurderer risici for disse aktiver
3. Implementerer passende kontroller til at mitigere risici
4. Løbende overvåger og forbedrer systemet

Annex A-kontroller

Standarden indeholder 93 kontroller (i 2022-versionen) fordelt på fire temaer:

• Organisatoriske kontroller (37): Politikker, roller, ansvar, trusselsefterretning
• Personkontroller (8): Screening, awareness, fjernarbejde
• Fysiske kontroller (14): Sikkerhedszoner, udstyrsbeskyttelse, overvågning
• Teknologiske kontroller (34): Adgangskontrol, kryptering, backup, logning

Certificeringsprocessen

Certificeringen udføres af akkrediterede certificeringsorganer og omfatter:

Stage 1 audit: Gennemgang af dokumentation og ISMS-design

Stage 2 audit: Verifikation af implementering og effektivitet

Certificeringen gælder i tre år med årlige overvågningsaudits.

ISO 27001 i Danmark

Mange danske virksomheder, særligt i IT-, finans- og sundhedssektoren, er ISO 27001-certificerede. Standarden er kompatibel med NIS2-direktivets krav og kan bruges som dokumentation for compliance. DANAK (Den Danske Akkrediteringsfond) akkrediterer de certificeringsorganer, der opererer i Danmark.

For organisationer der skal overholde GDPR, dækker ISO 27001 en stor del af de tekniske og organisatoriske foranstaltninger, som forordningen kræver.