ISO 27001 er en internasjonal standard for administrasjonssystemer som definerer kravene til et informasjonssikkerhetsstyringssystem (ISMS). Standarden inneholder et rammeverk for beste praksis for å identifisere, analysere og iverksette kontroller for å håndtere og redusere risikoer – og dermed redusere faren for brudd på informasjonssikkerheten. Alle slags foretak – uavhengig av størrelse og sektor – kan benytte kravene og kontrollmekanismene i ISO 27001 for å implementere et effektivt ISMS-system som kan sertifiseres uavhengig. En akkreditert ISO 27001-sertifisering fra et velrenommert og uavhengig sertifiseringsorgan viser at dere tar informasjonssikkerhet på alvor, og gir dere en uavhengig evaluering av robustheten og effektiviteten i foretakets ISMS-system. Det hjelper dere å ivareta kontraktfestede forpliktelser og vil i mange tilfeller være selve adgangskortet til å drive forretninger.

Hva er fordelene ved ISO 27001-standarden og hvorfor er den så viktig?

Beskytt foretakets data og omdømme En ISO 27001-sertifisering viser at dere har etablert en systematisk, risikobasert tilnærming til informasjonssikkerhet som sikrer optimal praksis for: Å identifisere trusler innen informasjons- og cybersikkerhet Å analysere risiko basert på konsekvenser og sannsynlighet Å evaluere risikoer og prioriteringer basert på faktorer med betydning for virksomheten Å velge riktige verktøy for håndtering av trusler Vis at dere arbeider i samsvar med lover, forskrifter og kontraktforpliktelser Å oppnå sertifisering i henhold til ISO 27001 krever at dere identifiserer relevant lovgivning, f.eks. EUs personvernforordning (GDPR) og forskrifter som HIPAA. Det vil ha en positiv virkning på risikostyringen og ledelsen av foretaket, og hjelper dere å vise samsvar og overholdelse av kontraktforpliktelser. Konkurransefordel En sertifisering fra LRQA gir kunder og interessenter tryggheten om at sikkerhetsrisikoer – enten det gjelder IT, personale, fysiske omgivelser eller forretningskontinuitet – blir ivaretatt på en god måte og at informasjonen deres er sikret. En ISO 27001-sertifisering er et tydelig bevis på foretakets kvaliteter, og viser at dere opererer i tråd med internasjonalt anerkjent beste praksis – noe som kan åpne for nye forretningsmuligheter.

Hvordan fungerer ISO 27001-revisjoner?

ISO 27001-revisjoner følger samme tilnærmingsmåte som andre administrasjonssystemer basert på vedlegg SL. Dere kan begynne med trening og gapanalyse, men den formelle prosessen inkluderer også en revisjon av hvordan ISMS-systemet er utformet (trinn 1) og av bruken av det (trinn 2). Resultatet av disse revisjonene sendes til teknisk gjennomgang av en kvalifisert, uavhengig person i LRQA, som sikrer at det er i overensstemmelse med våre krav til beste praksis slik den er definert av akkrediteringsmyndighetene. Så snart godkjenningen foreligger, utstedes et ISO 27001-sertifikat og en treårig syklus med overvåkningsrevisjoner starter, som leder frem til en fornyelsesrevisjon for tre nye år. Overvåkningen gjør det mulig både for LRQA og foretaket selv å administrere endringer og sikre at revisjonene holdes relevante i henhold til aktuelle behov i bransjen.

Hvor lang tid tar ISO 27001-sertifiseringen?

Etter godkjenningen varer sertifiseringen i tre år såfremt overvåkningsprogrammet viser effektivt systemvedlikehold.

Hva inngår vanligvis i et ISMS-omfang og i en relevanserklæring?

Vanligvis inneholder en omfangserklæring for ISMS-sertifiseringen aktiviteter knyttet til levering av produkter og tjenester. Den må ikke nødvendigvis inneholde interne aktiviteter eller ISMS-prosesser. Målet er å forsikre leseren om at all informasjon som avgis ved mottak av produktet eller tjenesten, er beskyttet. Relevanserklæringen viser til listen over valgte kontroller. Den inneholder ikke informasjon om selve kontrollene, men en sporingsreferanse til en kontrollerklæring som ble benyttet som grunnlag for den siste ISO 27001-revisjonen. Noen ganger har virksomheter en delbar, offentlig utgave som lister opp kontrollene som er valgt fra ISO 27001 vedlegg A, men dette er ikke obligatorisk.

Hvor mye koster det å oppnå en ISO 27001-sertifisering?

Kostnadene er basert på antallet revisjonsdager, som avhenger av antall ansatte som omfattes av ISMS. Antallet revisjonsdager er angitt i akkrediteringsstandarden ISO 27006, som er åpent tilgjengelig for alle. Ved å engasjere et akkreditert sertifiseringsorgan som LRQA får du et forslag til en revisjonsvarighet som er basert på beste praksis i bransjen, og som er sammenlignbar med alle andre akkrediterte sertifiseringsorganer. For eksempel kan en virksomhet med 100 fulltidsekvivalenter (FTE) forvente en grunnleggende revisjonsvarighet (trinn 1 + trinn 2) på mellom 8 og 12 dager, avhengig av sektoren de arbeider i, hvor komplekse arbeidsforholdene er, om de er involvert i programvareutvikling og om det må integreres sikkerhet i produktet. Det påfølgende overvåkningsprogrammet vil ta 3–4 dager årlig, og en fornyelse vil vare i 6–8 dager.

har allerede ISO 9001. Kan jeg integrere den med ISO 27001?

Ja. Ettersom både ISO 9001 og ISO 27001 er basert på en generisk modell for beste praksis for administrasjonssystemer – vedlegg SL – kan de grunnleggende administrasjonsprosessene optimaliseres for å overholde kravene i begge standardene. Å utvikle et system som håndterer dem begge vil faktisk forbedre effektiviteten i organisasjonsstyringen. For eksempel forutsetter et mål som vekst gjerne utvikling av nye produkter, der sikkerhet vanligvis anses som en kvalitetsstandard markedet forventer. En integrasjon kan dessuten minimere dobbelt innsats, som igjen kan redusere revisjonstiden og være et kostnadseffektivt alternativ.

Hvordan ser en typisk ISO 27001-sertifiseringsprosess ut?

Hvilken vei virksomheten din vil ta for å oppnå en ISO 27001-sertifisering, avhenger gjerne av foretakets modningsgrad når det gjelder informasjonssikkerhet og den bredere risikostyringen, og av andre faktorer. De fleste virksomheter som forholder seg til ISO 27001 for første gang, følger prosessen som er skissert nedenfor. Akselerer implementeringen av ISO 27001: Vårt utvalg av ISO 27001-treningskurs hjelper virksomheten å bygge opp kunnskap om standarden og kravene i den – og gir dere den innsikten og de ferdighetene dere trenger for å optimalisere administrasjonssystemet. Evaluer i hvilken grad dere er klare: Våre valgfrie forberedelsestjenester før vurderingen kan gjennomføres i form av en gapanalyse eller en foreløpig vurdering. En av våre ekspertrevisorer vil evaluere hvorvidt systemet deres er klart, og eventuelt peke på hvilke områder som trenger ytterligere arbeid før dere går inn i den formelle ISO 27001-revisjonen. Revisjon trinn 1 – dokumentgjennomgang og planlegging: Revisoren vil gjennomgå systemets oppbygning og dokumentasjon for å avgjøre hvorvidt det oppfyller kravene i standarden og det foreslåtte omfanget av revisjonen. Deretter følger et intervju med nøkkelpersoner i teamet. I de fleste tilfeller kan trinn 1 gjennomføres uten lokal tilstedeværelse. Revisjon trinn 2 – evaluering av implementeringen: I trinn 2 vil revisoren evaluere implementeringen og effektiviteten i ISMS-systemet i henhold til kravene i ISO 27001. Hvis det ikke dukker opp betydelige avvik, vil en godkjenning anbefales, og dere vil motta sertifiseringen. Trinn 2 i revisjonen kan utføres lokalt eller via fjernkontakt. Fortell om ISO 27001-sertifiseringen: Sertifiseringen viser at dere tar internasjonalt anerkjente rutiner for beste praksis på alvor og at dere forbedrer dere kontinuerlig – det kan åpne nye forretningsmuligheter og imøtekomme kundenes behov. Årlig overvåkningsrevisjon – behold full kontroll: ISO 27001-sertifiseringen går i sykluser på tre år. Vi utfører årlige overvåkningsrevisjoner for å sikre at administrasjonssystemet forblir effektivt og godt vedlikehold, og det forbedres kontinuerlig. Fornyelse av sertifiseringen: Tre måneder før sertifiseringen utløper, reviderer vi virksomhetens aktiviteter på nytt for å sikre at de fortsatt overholder kravene i ISO 27001.

Hva er ISO 27002:2022 og hva slags betydning har den?

Publiseringen av ISO 27002:2022 er en oppdatering av listen over kontroller i ISO 27001 – som rekker tilbake til 2013. De reviderte kontrollene reflekterer utviklingen både når det gjelder aktuelle trusler og beste praksis, og det utvidede omfanget i ISO 27002 bidrar til å sikre at risikostyringstiltak blir vidtfavnende og effektive. Virksomheter kan bruke den omfattende listen over kontroller til å håndtere risikoer de har oppdaget eller til å identifisere potensielle svakheter – og dermed holde seg et skritt foran det komplekse trusselbildet som stadig utvikler seg.

Er en ny utgave av ISO 27001 under utvikling?

En ny utgave av ISO 27001 forventes å bli publisert i slutten av oktober 2022. Den vil omfatte de nye kontrollene som ble skissert i ISO 27002:2022 og som pålegger virksomheter å gjennomgå sin risikovurdering og avgjøre om en ny risikohåndtering må innføres.

ISO/IEC 27001 (ISMS) sertifisering for informasjonssikkerhetsstyring

Få sertifisering og trening av eksperter fra LRQA

Be om et tilbud

For alle organisasjoner – uavhengig av størrelse og sektor – legger ISO/IEC 27001 et sterkt grunnlag for en omfattende strategi for informasjons- og cybersikkerhet. Standarden skisserer et ISMS-rammeverk basert på beste praksis for å redusere risikoer og sikre driftskritiske data ved hjelp av identifisering, analyser og praktiske kontroller. En akkreditert ISO 27001-sertifisering viser at dere har på plass de prosessene og kontrollene som kreves for å sikre foretakets og kundenes informasjon mot stadig mer komplekse trusler. Se Vanlige spørsmål om standarden og vårt tilbud.

Våre tjenester knyttet til ISO/IEC 27001

Våre sertifiserings- og treningstjenester kan gjennomføres lokalt, via internett eller med en blandet tilnærming – slik at dere får full fleksibilitet og en servicemodell som passer til foretakets behov.

Opplæring

Bygg opp kunnskapen om ISO 27001 med en rekke kurs som er utviklet for ulike erfaringsnivåer – og som gjennomføres med mange ulike læringsmetoder.

Gapanalyse

En ekstra tjeneste der en av våre ekspertrevisorer hjelper deg å identifisere kritiske, svake punkter med høy risiko i systemet før den formelle ISO 27001-revisjonen finner sted.

Akkreditert sertifisering

En uavhengig totrinns-prosess som gir en tydelig bekreftelse på foretakets kvaliteter – og som hjelper dere å finne nye forretningsmuligheter og bygge opp tillit blant interessenter.

Integrerte revisjoner

Hvis du har innført flere administrasjonssystemer, kan du få fordeler med et integrert revisjons- og overvåkningsprogram som er mer effektivt og kostnadsgunstig.

En helhetlig tilnærming til informasjons- og cybersikkerhet

Vår omfattende tekniske innsikt og ekspertise, støttet av vår omfattende portefølje innen cybersikkerhet, gir oss muligheten til å samarbeide tett med foretaket ditt – slik at dere kan identifisere spesifikke trusler og finne de beste løsningene for å avverge dem. Vi kan sertifisere foretakets systemer, identifisere sårbare punkter og bidra til å forhindre angrep og uhell som kan skade merkeintegriteten, økonomien og driften.

informasjonssikkerhet og cybertjenester fra LRQA – 360 visning.png

Hvorfor bør du arbeide med oss?

Lokal og global ekspertise

Vi er der du er. Med over 300 høyt kvalifiserte revisorer og 250 spesialister på cybersikkerhet på plass over hele verden, kan vi tilby tjenester lokalt som holder et førsteklasses nivå globalt. Vi har tekniske eksperter med omfattende kunnskap om risikoer, utfordringer, standarder, bestemmelser og rammeverk innen informasjons- og cybersikkerhet.

Fleksibel gjennomføring

I de fleste tilfeller kan alle våre trenings- og sertifiseringstjenester i tilknytning til ISO 27001 gjennomføres lokalt eller via internett, ved hjelp av trygg og sikker teknologi. Hvis dere velger gjennomføring via internett, vil dere få den samme høye kvaliteten på tjenestene og mange ekstra fordeler, som fleksibilitet, rask gjennomføring og tilgang til global ekspertise.

En historie over førsteplasser

Vi har de første som mottok UKAS-akkreditering for levering av sertifiseringstjenester for en rekke standarder over hele verden. Vi fortsetter å bidra til utviklingen av en rekke spesifikke standarder og rammeverk i ulike sektorer.

Samsvar og mer

Sammen med Nettitude, vår prisbelønnede virksomhet innen cybersikkerhet, kan vi bidra til at dere holder foretaket et skritt foran de selv mest utspekulerte cybertruslene, takket være avanserte tjenester som skaper en sikker forsvarslinje og reaksjonsmuligheter overfor alle typer trusler og sårbarheter.

Vanlige spørsmål

Hva er ISO 27001?

ISO 27001 er en internasjonal standard for administrasjonssystemer som definerer kravene til et informasjonssikkerhetsstyringssystem (ISMS). Standarden inneholder et rammeverk for beste praksis for å identifisere, analysere og iverksette kontroller for å håndtere og redusere risikoer – og dermed redusere faren for brudd på informasjonssikkerheten.
Alle slags foretak – uavhengig av størrelse og sektor – kan benytte kravene og kontrollmekanismene i ISO 27001 for å implementere et effektivt ISMS-system som kan sertifiseres uavhengig.

En akkreditert ISO 27001-sertifisering fra et velrenommert og uavhengig sertifiseringsorgan viser at dere tar informasjonssikkerhet på alvor, og gir dere en uavhengig evaluering av robustheten og effektiviteten i foretakets ISMS-system. Det hjelper dere å ivareta kontraktfestede forpliktelser og vil i mange tilfeller være selve adgangskortet til å drive forretninger.
Hva er fordelene ved ISO 27001-standarden og hvorfor er den så viktig?
Beskytt foretakets data og omdømme

En ISO 27001-sertifisering viser at dere har etablert en systematisk, risikobasert tilnærming til informasjonssikkerhet som sikrer optimal praksis for:
- Å identifisere trusler innen informasjons- og cybersikkerhet
- Å analysere risiko basert på konsekvenser og sannsynlighet
- Å evaluere risikoer og prioriteringer basert på faktorer med betydning for virksomheten
- Å velge riktige verktøy for håndtering av trusler
Vis at dere arbeider i samsvar med lover, forskrifter og kontraktforpliktelser

Å oppnå sertifisering i henhold til ISO 27001 krever at dere identifiserer relevant lovgivning, f.eks. EUs personvernforordning (GDPR) og forskrifter som HIPAA. Det vil ha en positiv virkning på risikostyringen og ledelsen av foretaket, og hjelper dere å vise samsvar og overholdelse av kontraktforpliktelser.

Konkurransefordel

En sertifisering fra LRQA gir kunder og interessenter tryggheten om at sikkerhetsrisikoer – enten det gjelder IT, personale, fysiske omgivelser eller forretningskontinuitet – blir ivaretatt på en god måte og at informasjonen deres er sikret.

En ISO 27001-sertifisering er et tydelig bevis på foretakets kvaliteter, og viser at dere opererer i tråd med internasjonalt anerkjent beste praksis – noe som kan åpne for nye forretningsmuligheter.
Hvordan fungerer ISO 27001-revisjoner?

ISO 27001-revisjoner følger samme tilnærmingsmåte som andre administrasjonssystemer basert på vedlegg SL. Dere kan begynne med trening og gapanalyse, men den formelle prosessen inkluderer også en revisjon av hvordan ISMS-systemet er utformet (trinn 1) og av bruken av det (trinn 2). Resultatet av disse revisjonene sendes til teknisk gjennomgang av en kvalifisert, uavhengig person i LRQA, som sikrer at det er i overensstemmelse med våre krav til beste praksis slik den er definert av akkrediteringsmyndighetene.

Så snart godkjenningen foreligger, utstedes et ISO 27001-sertifikat og en treårig syklus med overvåkningsrevisjoner starter, som leder frem til en fornyelsesrevisjon for tre nye år. Overvåkningen gjør det mulig både for LRQA og foretaket selv å administrere endringer og sikre at revisjonene holdes relevante i henhold til aktuelle behov i bransjen.
Hvor lang tid tar ISO 27001-sertifiseringen?

Etter godkjenningen varer sertifiseringen i tre år såfremt overvåkningsprogrammet viser effektivt systemvedlikehold.
Hva inngår vanligvis i et ISMS-omfang og i en relevanserklæring?

Vanligvis inneholder en omfangserklæring for ISMS-sertifiseringen aktiviteter knyttet til levering av produkter og tjenester. Den må ikke nødvendigvis inneholde interne aktiviteter eller ISMS-prosesser. Målet er å forsikre leseren om at all informasjon som avgis ved mottak av produktet eller tjenesten, er beskyttet.

Relevanserklæringen viser til listen over valgte kontroller. Den inneholder ikke informasjon om selve kontrollene, men en sporingsreferanse til en kontrollerklæring som ble benyttet som grunnlag for den siste ISO 27001-revisjonen. Noen ganger har virksomheter en delbar, offentlig utgave som lister opp kontrollene som er valgt fra ISO 27001 vedlegg A, men dette er ikke obligatorisk.
Hvor mye koster det å oppnå en ISO 27001-sertifisering?

Kostnadene er basert på antallet revisjonsdager, som avhenger av antall ansatte som omfattes av ISMS. Antallet revisjonsdager er angitt i akkrediteringsstandarden ISO 27006, som er åpent tilgjengelig for alle. Ved å engasjere et akkreditert sertifiseringsorgan som LRQA får du et forslag til en revisjonsvarighet som er basert på beste praksis i bransjen, og som er sammenlignbar med alle andre akkrediterte sertifiseringsorganer.

For eksempel kan en virksomhet med 100 fulltidsekvivalenter (FTE) forvente en grunnleggende revisjonsvarighet (trinn 1 + trinn 2) på mellom 8 og 12 dager, avhengig av sektoren de arbeider i, hvor komplekse arbeidsforholdene er, om de er involvert i programvareutvikling og om det må integreres sikkerhet i produktet. Det påfølgende overvåkningsprogrammet vil ta 3–4 dager årlig, og en fornyelse vil vare i 6–8 dager.
har allerede ISO 9001. Kan jeg integrere den med ISO 27001?

Ja. Ettersom både ISO 9001 og ISO 27001 er basert på en generisk modell for beste praksis for administrasjonssystemer – vedlegg SL – kan de grunnleggende administrasjonsprosessene optimaliseres for å overholde kravene i begge standardene. Å utvikle et system som håndterer dem begge vil faktisk forbedre effektiviteten i organisasjonsstyringen. For eksempel forutsetter et mål som vekst gjerne utvikling av nye produkter, der sikkerhet vanligvis anses som en kvalitetsstandard markedet forventer. En integrasjon kan dessuten minimere dobbelt innsats, som igjen kan redusere revisjonstiden og være et kostnadseffektivt alternativ.
Hvordan ser en typisk ISO 27001-sertifiseringsprosess ut?
Hvilken vei virksomheten din vil ta for å oppnå en ISO 27001-sertifisering, avhenger gjerne av foretakets modningsgrad når det gjelder informasjonssikkerhet og den bredere risikostyringen, og av andre faktorer. De fleste virksomheter som forholder seg til ISO 27001 for første gang, følger prosessen som er skissert nedenfor.
1. Akselerer implementeringen av ISO 27001: Vårt utvalg av ISO 27001-treningskurs hjelper virksomheten å bygge opp kunnskap om standarden og kravene i den – og gir dere den innsikten og de ferdighetene dere trenger for å optimalisere administrasjonssystemet.
2. Evaluer i hvilken grad dere er klare: Våre valgfrie forberedelsestjenester før vurderingen kan gjennomføres i form av en gapanalyse eller en foreløpig vurdering. En av våre ekspertrevisorer vil evaluere hvorvidt systemet deres er klart, og eventuelt peke på hvilke områder som trenger ytterligere arbeid før dere går inn i den formelle ISO 27001-revisjonen.
3. Revisjon trinn 1 – dokumentgjennomgang og planlegging: Revisoren vil gjennomgå systemets oppbygning og dokumentasjon for å avgjøre hvorvidt det oppfyller kravene i standarden og det foreslåtte omfanget av revisjonen. Deretter følger et intervju med nøkkelpersoner i teamet. I de fleste tilfeller kan trinn 1 gjennomføres uten lokal tilstedeværelse.
4. Revisjon trinn 2 – evaluering av implementeringen: I trinn 2 vil revisoren evaluere implementeringen og effektiviteten i ISMS-systemet i henhold til kravene i ISO 27001. Hvis det ikke dukker opp betydelige avvik, vil en godkjenning anbefales, og dere vil motta sertifiseringen. Trinn 2 i revisjonen kan utføres lokalt eller via fjernkontakt.
5. Fortell om ISO 27001-sertifiseringen: Sertifiseringen viser at dere tar internasjonalt anerkjente rutiner for beste praksis på alvor og at dere forbedrer dere kontinuerlig – det kan åpne nye forretningsmuligheter og imøtekomme kundenes behov.
6. Årlig overvåkningsrevisjon – behold full kontroll: ISO 27001-sertifiseringen går i sykluser på tre år. Vi utfører årlige overvåkningsrevisjoner for å sikre at administrasjonssystemet forblir effektivt og godt vedlikehold, og det forbedres kontinuerlig.
7. Fornyelse av sertifiseringen: Tre måneder før sertifiseringen utløper, reviderer vi virksomhetens aktiviteter på nytt for å sikre at de fortsatt overholder kravene i ISO 27001.
Hva er ISO 27002:2022 og hva slags betydning har den?

Publiseringen av ISO 27002:2022 er en oppdatering av listen over kontroller i ISO 27001 – som rekker tilbake til 2013. De reviderte kontrollene reflekterer utviklingen både når det gjelder aktuelle trusler og beste praksis, og det utvidede omfanget i ISO 27002 bidrar til å sikre at risikostyringstiltak blir vidtfavnende og effektive. Virksomheter kan bruke den omfattende listen over kontroller til å håndtere risikoer de har oppdaget eller til å identifisere potensielle svakheter – og dermed holde seg et skritt foran det komplekse trusselbildet som stadig utvikler seg.
Er en ny utgave av ISO 27001 under utvikling?

En ny utgave av ISO 27001 forventes å bli publisert i slutten av oktober 2022. Den vil omfatte de nye kontrollene som ble skissert i ISO 27002:2022 og som pålegger virksomheter å gjennomgå sin risikovurdering og avgjøre om en ny risikohåndtering må innføres.

Er dere allerede sertifisert i henhold til ISO 27001 og ønsker en overføring?

Overføring til LRQA