ISO/IEC 27001 (ISMS) Certifiering av informationssäkerhetssystem

ISO 27001 är den internationella standarden för ledningssystem som definierar kraven för ett system för hantering av informationssäkerhet (Information Security Management System, ISMS). Standarden ger ett ramverk för bästa praxis för att identifiera, analysera och genomföra kontroller för att hantera och minska riskerna och därmed minska sannolikheten för brott mot informationssäkerheten.
Alla organisationer – oavsett storlek och sektor – kan använda kraven och kontrollerna i ISO 27001 för att införa ett effektivt ISMS som kan certifieras av ett oberoende certifieringsorgan.

En ackrediterad ISO 27001-certifiering som tillhandahålls av ett välrenommerat och oberoende certifieringsorgan visar på ditt åtagande avseende informationssäkerhet och ger en opartisk syn på hur säkert och effektivt ditt ISMS är. Detta hjälper till att uppfylla avtalsförpliktelser och fungerar i många fall som ett tillstånd att bedriva handel.

Skydda företagets data och rykte

En ISO 27001-certifiering visar att ni har etablerat ett systematiskt, riskbaserat tillvägagångssätt för informationssäkerhet som driver bästa praxis kring: 

• Identifiering av risker för informations- och cybersäkerhet
• Analys av risker utifrån påverkan och sannolikhet.
• Utvärdering av risker och prioritering av när de ska åtgärdas utifrån faktorer som rör din verksamhet.
• Val av alternativ för riskbehandling

Visa att lagar, förordningar och avtalskrav följs.

För att få en ISO 27001-certifiering måste du identifiera vilka lagar som ditt företag måste följa, till exempel EU:s GDPR eller den amerikanska HIPAA-lagen. Detta har en positiv inverkan på riskhantering och företagsstyrning och hjälper dig att visa att du följer reglerna och uppfyller avtalskraven.

Konkurrensfördel

Certifiering från LRQA ger kunder och intressenter tillit till att säkerhetsrisker – som kan gälla IT, personal, fysisk miljö och kontinuitet – har hanterats på ett adekvat sätt för att skydda deras information.

ISO 27001-certifiering är ett tydligt bevis på din kapacitet och visar att du arbetar i linje med bästa internationellt erkända praxis – vilket hjälper dig att vinna nya marknadsandelar.

Revisioner av ISO 27001 följer samma tillvägagångssätt som andra ledningssystem som definieras av bilaga SL. Du kan börja med utbildning och analys av brister, men den formella processen omfattar en revision av utformningen av ISMS (steg 1) och en revision av hur den fungerar (steg 2). Resultaten av dessa revisioner granskas ur en teknisk synvinkel av en kvalificerad, oberoende person inom LRQA för att säkerställa enhetlighet och överensstämmelse med vårt åtagande att följa bästa praxis definierad av de personer som ska godkänna dem.

När det är godkänt utfärdas ditt ISO 27001-certifikat och du påbörjar en treårig cykel av övervakningsrevisioner som leder fram till en förnyad revision för att fastställa de kommande tre åren. Övervakning gör det möjligt för både LRQA och din organisation att hantera förändringar och se till att revisionerna är relevanta för branschens aktuella behov.

När certifieringen väl är godkänd gäller den i tre år, under förutsättning att övervakningsprogrammet visar att man har ett effektivt systemunderhåll.

Ett typiskt ISMS-certifikat omfattar aktiviteter i samband med leverans av produkter och tjänster. Det behöver inte omfatta intern verksamhet eller ISMS-processer. Syftet är att försäkra läsaren om att den information som uppges vid mottagandet av produkten eller tjänsten är skyddad.

I förklaringen om tillämplighet hänvisas till förteckningen över utvalda kontroller. Den innehåller inga detaljer om dessa kontroller, utan en spårbar hänvisning till en kontrollförklaring som användes som grund för den senaste ISO 27001-revisionen. Ibland har organisationer en offentlig version som kan delas och som bara innehåller en uppräkning av de kontroller som valts ut från bilaga A i ISO 27001, men detta är inte ett obligatoriskt krav.

Kostnaden är baserad på antalet revisionsdagar i förhållande till antalet anställda som omfattas av ISMS. Antalet revisionsdagar publiceras i ackrediteringsstandarden ISO 27006 och denna information är tillgänglig för alla. Genom att anlita ett ackrediterat certifieringsorgan som LRQA får du ett förslag på hur lång tid revisionen kommer att ta som baseras på bästa praxis inom branschen och som är jämförbart med alla andra ackrediterade certifieringsorgan.

En organisation med 100 heltidsekvivalenter (Full-Time Equivalents, FTE) kan till exempel förvänta sig att den inledande revisionen (steg 1 + steg 2) tar mellan 8 och 12 dagar beroende på vilken sektor de är verksamma inom, hur komplex deras arbetsmiljö är, om de arbetar med utveckling av mjukvara eller om de behöver bygga in säkerhet i produkten. Det efterföljande övervakningsprogrammet är på 3–4 dagar per år och förnyelsen 6–8 dagar.

Ja – eftersom både ISO 9001 och ISO 27001 bygger på den generiska bästa praxis-modellen för ledningssystem – bilaga SL – kan de centrala ledningsprocesserna optimeras för att uppfylla kraven i båda standarderna. Om man utformar ett system för att ta itu med båda dessa frågor blir organisationens styrning faktiskt effektivare. Till exempel kräver affärsmål som tillväxt ofta utveckling av nya produkter där säkerhet vanligtvis betraktas som en kvalitetsstandard i linje med marknadens förväntningar. Integrering kan också minimera dubbelarbete, och detta kan leda till att revisionstiden minskar, vilket är ett kostnadseffektivt alternativ.

Den väg som din organisation tar för att uppnå ISO 27001-certifiering beror ofta på företagets mognadsgrad i fråga om bland annat informationssäkerhet och bredare riskhantering. De flesta företag som precis har börjat med ISO 27001 brukar följa den process som beskrivs nedan. 

1. Snabba på din ISO 27001-implementering: Vårt utbud av ISO 27001-utbildningar hjälper dig att bygga upp din kunskap om standarden och dess krav – och ger dig insikt och färdigheter för att optimera ditt ledningssystem.

2. Bedöm din beredskap: Våra valfria förhandsbedömningstjänster kan utföras i form av en analys av brister eller en preliminär bedömning. En av våra expertrevisorer bedömer om ditt system är redo och anger vilka områden som kan kräva ytterligare uppmärksamhet innan du börjar med din formella ISO 27001-revision.

3. Steg 1 – granskning av dokument samt planering: Din revisor kommer att granska ditt systems utformning och dokumentation för att avgöra om det uppfyller kraven i standarden och den föreslagna omfattningen för revisionen. Detta följs av en intervju med nyckelpersoner i teamet. I de flesta fall utförs revisionen av steg 1 på distans.
4. Steg 2 Revision – utvärdering av genomförandet: Under steg 2 utvärderar din revisor genomförandet och effektiviteten av ditt ISMS i enlighet med kraven i ISO 27001. Om du inte får några större avvikelser rekommenderas godkännande och du får din certifiering. Steg 2-revisionen kan utföras på distans eller på plats.
5. Promota din ISO 27001-certifiering: Din certifiering visar att du har föresatt dig att använda de bästa internationellt erkända metoderna och strävar efter att kontinuerligt förbättra dem – vilket hjälper dig att vinna nya marknadsandelar och uppfylla kundernas krav.
6. Årlig övervakningsrevision – går allt som det ska? Din ISO 27001-certifiering löper i cykler om tre år. Vi utför övervakningsrevisioner varje år för att se till att ditt ledningssystem förblir effektivt, underhålls väl och ger ständiga förbättringar.
7. Förnyelse av certifikat: Tre månader innan ditt certifikat löper ut gör vi en ny revision av din organisations verksamhet för att se till att den fortfarande uppfyller kraven i ISO 27001.

ISO 27002:2022 innehåller en uppdaterad lista över kontroller som finns i ISO 27001 – som antogs 2013. De reviderade kontrollerna återspeglar utvecklingen när det gäller både hot och nuvarande bästa praxis, och det utvidgade tillämpningsområdet för ISO 27002 bidrar till att säkerställa att riskhanteringsåtgärderna är omfattande och effektiva. Organisationer kan använda den omfattande listan över kontroller för att hantera de risker de har identifierat eller upptäcka potentiella luckor – vilket hjälper dem att ligga steget före i den komplexa och föränderliga hotvärld som företag står inför idag.

En ny version av ISO 27001 förväntas publiceras i slutet av oktober 2022. Den kommer att innehålla de nya kontroller som beskrivs i ISO 27002:2022 och som innebär att organisationer måste se över sin riskbedömning och avgöra om nya riskbehandlingar behöver implementeras.