ISO/IEC 27001 Informationssikkerhed

I takt med øget digitalisering stiger risikoen for hackerangreb og IT-kriminalitet. Informationssikkerhed ISO 27001 er derfor noget enhver organisation lige fra webbutikker til kommuner bør forholde sig til.

Køb standarden i webshop Kursusoversigt


Hvad er ISO/IEC 27001?

ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde. ISO 27001 opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.

Formålet med ISO/IEC 27001 er at opnå effektiv informationssikkerhedsledelse, der passer til en virksomheds særlige behov, samt sikre at denne effektivitet fastholdes gennem en proces for løbende forbedring. Det betyder, at informationssikkerheden hele tiden opdateres, således at virksomheden er i stand til at håndtere udfordringerne i en forretningsverden under konstant forandring.

ISO/IEC 27001 er en standard, som man som virksomhed kan blive certificeret i. Med en certificering har din virksomhed dokumentation for, at den lever op til kravene i standarden.

 

Hvorfor ISO/IEC 27001? Hvad er værdien?

Med en systematisk tilgang til styring af risici, kan organisationen investere i informationssikkerhed, hvor det giver størst muligt afkast – hvad enten det indebærer beskyttelse af organisationens fysiske rammer, IT-tekniske kontroller eller en ændring af medarbejdernes adfærd.

Dette vil kunne bidrage til

  1. Konkurrenceevne: Bedre struktur og prioritering. Styrket forståelse og ansvarsbevidsthed i alle forretningsprocesser

  2. Effektivisering: Bedre balance mellem kvalitet, kontrol og forretning – dokumenterede forretningsgange. Mere driftsikkerhed.

  3. Arbejdsglæde: Overblik og arbejdstryghed. Fælles fokus og baseline

  4. Compliance: Sikring af compliance i forhold til love, regeringskrav, leverandøraftaler og benyttede best practices.

  5.  Goodwill: En øget tillid hos kunder, leverandører og samarbejdspartnere. Bedre forsikringsvilkår
Kontakt

Berit Aadal
Berit Aadal Chefkonsulent | Chief Consultant
Standardisering | Digital & Bæredygtighed
E: baa@ds.dk
T: 39 96 62 96
Mette Krogh Sørensen
Mette Krogh Sørensen Seniorkonsulent | Senior Consultant
Kursus
E: mks@ds.dk
T: 39 96 62 24
Kurser i ISO/IEC 27001

Få jeres informationssikkerhed i orden. Vi har flere kurser inden for ISO 27000-serien, lige fra når man ønsker at implementere ISO 27001, til man ønsker at gå i dybden med de tilhørende standarder.

Se kursusoversigt

Fakta om ISO/IEC 27001

Hvad koster ISO/IEC 27001

Du kan købe standarden for informationssikkerhed ISO/IEC 2700 hos Dansk Standard.

Køb standarden (link til vores webshop).

Andre standarder vedr. informationssikkerhed

ISO/IEC 27001 for små og mellemstore virksomheder - praktiske råd

Bogen giver praktiske råd til små og mellemstore virksomheder, uanset om deres aktiver er medarbejdere, processer eller informationsteknologisystemer. Den beskriver nøje de processer, der gør det muligt for en virksomhed at etablere, implementere, evaluere, overvåge, styre og vedligeholde et effektivt ISMS-system.

Køb bogen her.

 

Køb Standardpakke Cyber- og informationssikkerhed

Denne standardpakke indeholder de mest relevante standarder vedrørende krav og vejledning i cyber- og informationssikkerhed. Du sparer 25 % ift. løssalgsprisen.

Køb samlingen her.

Hvem bruger ISO/IEC 27001

Kravene i standarden for informationssikkerhed er generiske og er beregnet til at gælde for alle organisationer, uanset type, størrelse og art.

ISO/IEC 27001 certificering

Dansk Standard tilbyder ikke certificering, men bidrager gerne med rådgivning og viden herom.

Krav om ISO/IEC 27001 i den offentlige sektor

Den nationale strategi for cyber- og informationssikkerhed (2014) stiller krav til statslige myndigheder om at implementere og arbejde systematisk efter sikkerhedsstandarden ISO/IEC 27001. Med den seneste fællesoffentlige digitaliseringsstrategi (2016-2020) er den øvrige del af den offentlige sektor nu underlagt et krav om at følge principperne i standarden.



Hvad er informationssikkerhed?

Informationssikkerhed handler om at sikre sine data og informationer. Det kan nemlig have alvorlige konsekvenser, hvis virksomhedens information bliver ødelagt, stjålet eller på anden vis bliver utilgængelig.

ISO/IEC 27001 stiller krav til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed (ISMS). Indførelsen af et ledelsessystem for informationssikkerhed er en strategisk beslutning for en organisation. Det er vigtigt, at ledelsessystemet er en del af og er integreret med organisationens processer og overordnede ledelsesstruktur, samt at det tager højde for informationssikkerheden i planlægningen af processer, informationssystemer og kontroller.

Alle offentlige virksomheder er i dag underlagt at følge principperne i standarden ISO/IEC 27001. Standarden er desuden et godt afsæt til at håndtere kravene i persondataforordningen, der trådte i kraft i maj 2018.

Lovgivning og krav vedrørende informationssikkerhed

Nogle love og forskrifter er fælles for de fleste lande, fx:

  • Lovgivning om databeskyttelse og datasikkerhed
  • Lovgivning om ophavsret, patenter, varemærkeret og digitale rettigheder
  • Lovgivning om computermisbrug eller hacking
  • Lovgivning om brug af elektronisk signatur (særligt vigtigt for sikkerheden ved onlinebetalinger).

Mange nye love og myndighedsregler indeholder krav til informationssikkerhed, som virksomheder skal overholde. Nogle erhvervsforsikringsselskaber kræver nu dokumentation for, at der er styr på informationssikkerheden før de tilbyder forsikringsdækning.

Persondataforordningen (GDPR)

Den 25. maj 2016 blev persondataforordningen fra EU vedtaget. Den trådte i kraft 25. maj 2018 og indgår i EU-landenes egne lovgivninger på området, dog med plads til national supplerende lovgivning på en række områder. 

De EU-kravene overlapper på en lang række områder kravene i standarden ISO/IEC 27001 for informationssikkerhed. Persondataforordningen opstiller skærpede krav til behandling og beskyttelse af persondata. Med afsæt i standarder er man godt klædt på til at håndtere kravene.

Dansk Standard tilbyder kurser i informationssikkerhed med afsæt i privacy-standarden og kravene i persondataforordningen. 

27001


Hvorfor er informationssikkerhed vigtigt?

Når information mistes, ødelægges, stjæles eller bliver utilgængelig, går det ud over virksomhedens renommé og kundernes tillid.

Informationssikkerhed er væsentligt for alle, der besidder informationer – hvad enten det er fysiske, digitale eller talte – og kan have betydelige konsekvenser for både overholdelse af lovgivning, organisationens aktiviteter og succes samt troværdighed og image.

Baggrund:
I løbet af de seneste 20 år er risikoen for cyberangreb og IT-kriminalitet som følge af mangel på informationssikkerhed steget markant. Det skyldes ikke mindst brugen af internettet som middel til at gøre forretning og skaffe sig adgang til store mængder information. Og i takt med en stigende efterspørgsel efter flere opkoblingsmuligheder og forretningsadgange via mobile teknologier samt øget udveksling af data stiger risikoen, for at informationssikkerheden kompromitteres yderligere.

Det betyder:
Personfølsomme oplysninger kan blive stjålet på mange måder, fx via internettet, ved tyveri af bærbare computere via skade på IT-systemer eller via andre sårbare informationskilder. Derfor står erhvervslivet og samfundet over for mange risici, i takt med at flere og flere data gøres digitale og afhængigheden af IT-systemer stiger.

Virksomheder bør have kendskab til sådanne risici og ledelsesmæssigt tage skridt til at beskytte deres virksomhed.

Til denne proces benyttes et såkaldt SoA-dokument, hvor organisationen skal forholde sig til de til- og fravalg af foranstaltninger, som organisationen vil implementere for at håndtere de identificerede risici.

Digitaliseringsstyrelsen gennemfører løbende analyser om borgernes oplevelser med og kendskab til informationssikkerhed. De mest markante observationer fra undersøgelserne er bl.a., at de færreste danskere beskytter egne data med sikkerhedskopiering, og mange også benytter samme passwords til forskellige tjenester.

27001


5 gode råd til virksomheder der skal i gang med at arbejde med informationssikkerhed

  1. Start med at etablere et udvalg for informationssikkerhed, der består af en blanding af forretningsfolk og IT-repræsentanter. Det må aldrig blive et rent IT-teknisk anliggende, da IT- og informationssikkerhed jo også handler om at pege på fejl og mangler hos IT-enheden eller dens leverandører. Det er desuden afgørende, at den øverste ledelse viser deres støtte og opbakning – helst ved at indtage formandsstolen i styrekomitéen. Komitéens fornemmeste opgave er at fastlægge og derefter forestå Information Security Governance i virksomheden. Dvs. at beslutte strategi og vision samt fastsætte organiseringen og de ressourcer, der skal anvendes på området.

  2. Lad være med at forsøge at genopfinde den dybe tallerken – brug de standarder, der allerede findes (DS/ISO og ISF’s Standard of Good Practise). De er alle grundigt gennemtænkt og afprøvet tusindvis af steder. Så kan du altid justere dem, så de passer til din virksomhed.

  3. Ansæt en person, der har informationssikkerhed som sit primære arbejdsområde. Undersøgelser viser, at virksomheder, der gør det, har markant færre alvorlige hændelser. Det handler om ejerskabsfølelse og klare roller.

  4. Skab opmærksomhed omkring emnet. Det er vigtigt at få promoveret god skik og etik blandt brugerne, fx i forbindelse med brug af internet, sociale medier, håndtering af personoplysninger i både små og større mængder.

  5. Stil de nødvendige ressourcer til rådighed, der passer til virksomhedens størrelse og modenhed. Man må ikke tro, at én person kan løse IT-sikkerhedsproblemet i en virksomhed med et femcifret antal medarbejdere, mens det måske vil være passende i en mindre virksomhed.


Hovedprincipperne i informationssikkerhed

Informationssikkerhed skal bevare fortrolighedintegritet og tilgængelighed af information ved hjælp af en risikostyringsproces og sikre, at interessenter har tillid til, at risici hånderes på en ordentlig måde.

Fortrolighed

Beskyttelse af informationer mod uautoriseret videregivelse eller adgang. Eksempel: beskyttelse mod uautoriseret adgang til en persons kreditkort eller økonomiske informationer, som personen forventer opbevares på fortrolig måde, eller til hemmelige designspecifikationer, forskningsresultater, markedsprognoser og analyser.

Integritet

Beskyttelse af informationer mod uautoriseret ændring eller ødelæggelse, også utilsigtet ødelæggelse samt sikring af informationernes nøjagtighed og pålidelighed. Eksempel: en persons sygejournal eller personoplysninger eller virksomhedsregnskaber skal være nøjagtige, herunder informationer, der er afgørende for, at et forretningssystem kan fungere effektivt, som fx en virksomheds lønudbetalinger, fakturering og/eller lagerstyring.

Tilgængelighed

Beskyttelse af informationer mod uautoriseret adgangsforbud for de personer, som har retmæssig adgang. Eksempel: når en virksomheds databaseserver har været udsat for et såkaldt DoS-angreb (fx forårsaget af en computervirus), kan informationerne i databasen blive utilgængelige, hvilket vil kunne medføre et større systemnedbrud. Alternativt kan tyveri af mobile enheder, som fx en bærbar computer, resultere i, at ejermanden også mister adgangen til de informationer, der var indeholdt i computeren.

27001

Har I brug for sparring i jeres arbejde med informationssikkerhed?

Vi hjælper private såvel som offentlige virksomheder og organisationer. Få bl.a. kortlagt jeres nuværende informationssikkerhedssituation eller få viden om udviklings- og forbedringsmuligheder for eksisterende systemer. 

Kontakt Mette Krogh Sørensen, seniorkonsulent, e-mail mks@ds.dk, telefon 39 96 62 24. Mette er vores ekspert i anvendelse og implementering af ISO/IEC 27001 for informationssikkerhed. 

Vi tilbyder også kurser i informationssikkerhed. Brug fx tre timer eller en dag på at lære om ISO/IEC 27001. Vi udbyder også diplomkursus samt virksomhedstilpassede kurser. 

Nyttige links og værktøjer

Erhvervsministeriet har bl.a. udviklet to værktøjer, der hjælper virksomhederne med at komme i gang med arbejdet med cyber- og informationssikkerhed.

PrivacyKompasset er et online værktøj, der tilbyder hjælp til særligt små og mellemstore virksomheder til at kortlægge deres brug af data.


Erfaringer med ISO 27001

e-Boks har siden 2015 fulgt standarden for informationssikkerhed, ISO/IEC 27001. Jacob Zwicki, Head of Security hos e-Boks, er ikke i tvivl om, at ISO 27001 i sidste ende har betydning for e-Boks’ troværdighed.

Standardisering, dokumentation og det aktive arbejde med risici øger sikkerheden betydeligt. Vi lever af troværdighed, og det gør mange af vores kunder og samarbejdspartnere også. Derfor er det vigtigt, at sikkerheden er formaliseret i vores organisation. e-Boks er en meget vigtig komponent i dansk digital infrastruktur. Derfor har vi også et særligt ansvar for, at sikkerheden håndteres omhyggeligt.

Jacob Zwicki
Head of Security, e-Boks

 

ISO/IEC 27002 – Foranstaltninger til styring af informationssikkerhed

ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.

 

 

FAQ om ISO/IEC 27001 og informationssikkerhed

Hvad er ISO/IEC 27001?

Den internationale ledelsesstandard for informationssikkerhed, ISO/IEC 27001, er et styringsværktøj, der hjælper organisationer med at beskytte værdifulde informationer på en sikker og troværdig måde. Standarden bidrager til at skabe tillid til de organisationer, der anvender den, da det vidner om, at man arbejder struktureret med informationssikkerhed og kan fremvise dokumentation for arbejdet.

Hvad er formålet med ISO/IEC 27001?

Formålet med ISO/IEC 27001 er at opnå effektiv informationssikkerhedsledelse, der passer til organisationens særlige behov og herefter opretholde effektiviteten ved at sikre løbende forbedringer. Det betyder, at informationssikkerheden hele tiden opdateres, så organisationen er i stand til at håndtere udfordringerne i en verden under konstant forandring.

Hvorfor er ISO/IEC 27001 vigtig?

ISO/IEC 27001 hjælper organisationen med at strukturere arbejdet med forretningskritiske informationer og bidrager til at minimere risikoen for brud på informationssikkerheden, som kan true organisationens eksistensgrundlag. Derudover kan standarden anvendes til at dokumentere organisationens arbejde med beskyttelse af følsomme oplysninger - internt såvel som eksternt. Den er derfor også et godt afsæt til beskyttelse af personoplysninger.

Hvilke organisationer er ISO/IEC 27001 relevant for?

Standarden er relevant for alle organisationer, der ligger inde med informationer, som ved kompromittering kan få betydelige konsekvenser for både overholdelse af lovgivning, organisationens aktiviteter, succes samt troværdighed og image. Den offentlige sektor er desuden forpligtet til at følge ISO/IEC 27001.

Hvordan lever jeg op til kravene i ISO/IEC 27001?

Standarden opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed, som man skal følge. Man kan finde inspiration til, hvordan man opfylder kravene ved at kigge i de tilhørende vejledende standarder i 27000-serien, særligt ISO/IEC 27002 og ISO/IEC 27005.

Kan man blive certificeret i ISO 27001?

Ja, det er muligt at blive certificeret i ISO/IEC 27001. Dansk Standard er ikke certificerende myndighed, men vi kan tilbyde rådgivning i arbejdet med implementering af standarden mhp. certificering.

Hvordan kan jeg blive klogere på implementeringen af ISO/IEC 27001?

Dansk Standard tilbyder kurser i informationssikkerhed, hvor du kan lære mere om ISO/IEC/IEC 27001, og hvordan du kommer i gang. Vi udbyder også diplomkurser samt virksomhedstilpassede kurser.

Kan jeg selv være med til at præge udviklingen af ISO/IEC 27001?

Ja, det kan man ved at melde sig ind i Dansk Standards udvalg S-441 for cyber- og informationssikkerhed. Her får du værdifuld viden om indholdet i fremtidens standarder på området - og mulighed for at påvirke dem. Udvalget har særligt fokus på ledelsesstandarderne under ISO/IEC 27000-serien og cybersikkerhed i produkter, men følger en bred portefølje af standardiseringsarbejde, der er relateret til cyber- og informationssikkerhed.


Du er også velkommen til at kontakte Anders Linde, chefkonsulent i Dansk Standard, på e-mail ali@ds.dk eller tlf. 39966329. Anders er vores ekspert i anvendelse og implementering af ISO/IEC 27001 for informationssikkerhed.

Har I brug for sparring i jeres arbejde med informationssikkerhed?

Mere viden om informations- og cybersikkerhed

ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002

ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.

SoA-dokument

Informationsikkerhed

SoA-dokument

Et SoA-dokument består af en liste med foranstaltninger, der kan være relevante for en organisation at implementere i forbindelse med organisationens risikohåndtering.

ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005

ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.

ISO/IEC 27701 Privatlivsbeskyttelse

ISO/IEC 27701

ISO/IEC 27701 Privatlivsbeskyttelse

Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.

Cyber Resilience Act

Cyber Resilience Act

Cyber Resilience Act er en ny EU-forordning som stiller fælleseuropæiske cybersikkerhedskrav til produkter med digitale elementer. Med forordningen følger en række standarder, der skal hjælpe virksomhederne med at leve op til de horisonale cybersikkerhedskrav. 

Cyber Security Act

Cyber Security Act

Den europæiske forordning om cybersikkerhed har til formål at etablere en fælles europæisk ramme for certificering inden for cybersikkerhed, som forventes at bygge på eksisterende standarder.

Data Act

Data Act

Dataforordningen (Data Act) skal skabe harmoniserede regler om fair adgang til og anvendelse af data og gøre det lettere for europæiske virksomheder at dele og anvende data.

AI Act

AI Act

Forordningen om kunstig intelligens (AI Act) skal sikre fælles spilleregler for brugen og udviklingen af kunstig intelligens. Med forordningen følger en række standarder, der skal hjælpe virksomhederne med at leve op til kravene om kunstig intelligens, som forordningen stiller.

Data Governance Act

Data Governance Act

Datastyringsforordningen (Data Governance Act) har til formål at skabe tillid til datadeling til gavn for samfundet, og der skal bl.a. prioriteres tværsektorielle standarder for datadeling og interoperabilitet.

GDPR

GDPR

Databeskyttelsesforordningen (GDPR) fastlægger fælleseuropæiske retningslinjer for håndteringen af personoplysninger for virksomheder, organisationer, myndigheder mm.

NIS2-direktivet

NIS2-direktivet

NIS2-direktivet indeholder skærpede krav til cyber- og informationssikkerhed i forhold til kritisk infrastruktur. Direktivet opfordrer til at anvende internationale, anerkendte standarder.