ISO/IEC 27001 er en international ledelsesstandard for informationssikkerhed. Standarden hjælper organisationer og virksomheder med at få processer på plads til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde. ISO/IEC 27001 stiller krav til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed (ISMS). Nogle af kravene i standarden går blandt andet på risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.
Formålet med ISO/IEC 27001 er at opnå effektiv informationssikkerhedsledelse, der passer til en organisations eller virksomheds særlige behov, samt sikre at denne effektivitet fastholdes gennem en proces for løbende forbedring. Det betyder, at informationssikkerheden hele tiden opdateres, så organisationen eller virksomheden er i stand til at håndtere udfordringerne i en verden, der er under konstant forandring.
Mange nye love og myndighedsregler indeholder krav til informationssikkerhed, som virksomheder skal overholde. Nogle erhvervsforsikringsselskaber kræver nu dokumentation for, at der er styr på informationssikkerheden før de tilbyder forsikringsdækning. Her er standarden et godt afsæt til at håndtere kravene i diverse lovgivning på området, som persondataforordningen (GDPR) og NIS 2.
ISO/IEC 27001 er en såkaldt ledelsesstandard, som betyder at den indeholder de emner inden for informationssikkerhed, som en ledelse bør forholde sig til. Udover ISO/IEC 27001 findes der også en lang række andre ledelsesstandarder inden for f.eks. kvalitetsledelse, miljø- og energiledelse. Alle ledelsessystemstandarderne er opbygget efter samme skabelon, som gør det nemt for organisationer at systematisere deres processer og anvende flere ledelsessystemer parallelt.
Med en systematisk tilgang til styring af risici, kan organisationen investere i informationssikkerhed, hvor det giver størst muligt afkast – hvad enten det indebærer beskyttelse af organisationens fysiske rammer, IT-tekniske foranstaltninger eller en ændring af medarbejdernes adfærd.
Derudover kan standarden anvendes til at dokumentere organisationens arbejde med beskyttelse af følsomme oplysninger – internt såvel som eksternt.
Sikkerhed – forbedret informationssikkerhedStandarden for cyber- og informationssikkerhed er et stærkt fundament for kontinuerligt at forbedre jeres sikkerhed. Den specificerer krav til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed (ISMS).
Derudover stiller standarden krav til, at sikkerhedsarbejdet integreres i ledelsen, hvilket skaber en systematisk tilgang til informationssikkerhed på tværs af organisationen.
Compliance – overholdelse af lov- og reguleringskravStandarden for cyber- og informationssikkerhed er et stærkt fundament for at skabe de nødvendige processer til at identificere relevante krav fra lovgivning og interessenter.
Standarden opstiller specifikke krav til dokumentation, hvilket kan styrke tilliden hos jeres interessenter og sikre, at jeres organisation lever op til gældende reguleringer.
Effektivitet – øget tillid og effektivt samarbejdeStandarden for cyber- og informationssikkerhed er et stærkt fundament for at arbejde systematisk og risikobaseret med sikkerhed.
Ved at implementere standardens krav kan jeres organisation skabe effektive arbejdsgange og processer, der løbende evalueres. Dette bidrager til kontinuerlig forbedring og understøtter en mere effektiv og smidig organisation.
Udvikling – Løbende forbedringStandarden for cyber- og informationssikkerhed er et stærkt fundament til at understøtte jeres organisations strategi og håndtere de udfordringer, I støder på.
Standardens krav sikrer, at jeres organisation tilpasser sig ændringer og opretholder det rette niveau af informationssikkerhed. Med fokus på kontinuerlig forbedring muliggør standarden, at ledelsessystemet kan følge med interne og eksterne ændringer, der påvirker jeres informationssikkerhed.
Få struktur på jeres arbejde med informationssikkerhed. Vi har flere kurser inden for ISO/IEC 27000-serien, lige fra risikostyring til implementering af ISO/IEC 27001 som et godt udgangspunkt for at leve op til NIS 2 kravene.
Se kursusoversigt
Gennem Q&A's får du indblik i, hvordan fire helt forskellige virksomheder har implementeret cyber- og informationssikkerhedsstandarder, samt hvilken effekt det har haft.
Læs mereEn undersøgelse foretaget for Dansk Standard peger på, at arbejdet med ISO/IEC 27001 skaber konkrete og målbare effekter for organisationen:
Informationssikkerhed er vigtigt for alle, der besidder informationer – hvad enten de er fysiske eller digitale. Når information mistes, ødelægges, stjæles eller bliver utilgængelig, kan det have alvorlige konsekvenser for en organisation ift. overholdelse af lovgivning, organisationens aktiviteter og succes samt troværdighed og image. For en virksomhed kan det i værste fald have konsekvenser for virksomhedens overlevelse.
I løbet af de seneste 20 år er risikoen for cyberangreb og IT-kriminalitet steget som et udtryk for den stigende digitalisering og en tilsvarende mangel på informationssikkerhed. Erhvervslivet og samfundet står over for mange risici, i takt med at flere og flere data gøres digitale og afhængigheden af IT-systemer stiger.
Følsomme personoplysninger kan blive stjålet på mange måder, fx via internettet, ved tyveri af bærbare computere via skade på IT-systemer eller via andre sårbare informationskilder.
Organisationer bør være opmærksomme på sådanne risici og ledelsesmæssigt træffe beslutninger og implementere foranstaltninger, der kan beskytte deres informationer. Og her kan ISO/IEC 27001 være et godt redskab.
Styrelsen for Samfundssikkerhed (det tidligere Center for Cybersikkerhed) har udarbejdet publikationen Cyberforsvar der virker, som beskriver en række trin over grundlæggende, tekniske og organisatoriske sikringstiltag, der kan forhindre langt størstedelen af alle målrettede cyberangreb.
En væsentlig pointe i publikationen er, at tekniske løsninger skal suppleres med organisatoriske sikringstiltag, medarbejder-awareness m.m.
De seks trin er
Anbefalingerne i Cyberforsvar der virker ligger i forlængelse af standarden ISO/IEC 27001, som alle statslige organisationer har skullet indføre siden 2016. Publikationen og mere info kan findes her.
Læs publikationenDansk Standard hjælper private virksomheder såvel som offentlige organisationer. Få bl.a. kortlagt jeres nuværende informationssikkerhedssituation eller få viden om udviklings- og forbedringsmuligheder for eksisterende systemer.
Kontakt Mette Krogh Sørensen, seniorkonsulent, e-mail mks@ds.dk, telefon 39 96 62 24. Mette er vores ekspert i anvendelse og implementering af ISO/IEC 27001 for informationssikkerhed.
Vi tilbyder også kurser i informationssikkerhed, samt virksomhedstilpassede kurser.
På sikkerdigital.dk kan du finde gode råd, vejledninger og værktøjer til hvordan virksomheder kan ruste sig mod cyberangreb og få en mere sikker digital adfærd.
På Virksomhedsguiden kan findes der hjælp til særligt små og mellemstore virksomheder ift. hvordan de behandler og beskytter personoplysninger.
ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.
Et SoA-dokument består af en liste med foranstaltninger, der kan være relevante for en organisation at implementere i forbindelse med organisationens risikohåndtering.
ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.
Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.
Cyber Resilience Act er en ny EU-forordning som stiller fælleseuropæiske cybersikkerhedskrav til produkter med digitale elementer. Med forordningen følger en række standarder, der skal hjælpe virksomhederne med at leve op til de horisonale cybersikkerhedskrav.
Den europæiske forordning om cybersikkerhed har til formål at etablere en fælles europæisk ramme for certificering inden for cybersikkerhed, som forventes at bygge på eksisterende standarder.
Dataforordningen (Data Act) skal skabe harmoniserede regler om fair adgang til og anvendelse af data og gøre det lettere for europæiske virksomheder at dele og anvende data.
Forordningen om kunstig intelligens (AI Act) skal sikre fælles spilleregler for brugen og udviklingen af kunstig intelligens. Med forordningen følger en række standarder, der skal hjælpe virksomhederne med at leve op til kravene om kunstig intelligens, som forordningen stiller.
Datastyringsforordningen (Data Governance Act) har til formål at skabe tillid til datadeling til gavn for samfundet, og der skal bl.a. prioriteres tværsektorielle standarder for datadeling og interoperabilitet.
Databeskyttelsesforordningen (GDPR) fastlægger fælleseuropæiske retningslinjer for håndteringen af personoplysninger for virksomheder, organisationer, myndigheder mm.
NIS2-direktivet indeholder skærpede krav til cyber- og informationssikkerhed i forhold til kritisk infrastruktur. Direktivet opfordrer til at anvende internationale, anerkendte standarder.
