ISO
27001
ISO 27001 kort fortalt
Info
Vi hjælper virksomheder med at opnå ISO 27001-certificering og skabe et stærkt fundament for informationssikkerhed. Med fokus på at beskytte data mod cyberangreb, datalæk og overholde krav som NIS2-direktivet, guider vi jer gennem hele processen – fra risikovurdering til implementering og certificering.
01
-
Sikre
02
-
Krav
03
-
Ansvar
04
-
Styrker
Hvordan bliver vi ISO 27001?
For at blive ISO 27001-certificeret skal virksomheden have styr på sikkerhedspolitikker, leverandøraftaler, medarbejdertræning og tekniske samt fysiske sikkerhedstiltag.
Vi hjælper jer hele vejen – fra risikovurdering og politikker til træning og implementering. Vil du høre mere? Kontakt os eller læs mere her
Politikker og ledelse
( Vi udarbejder )
Informationssikkerheds-politikker og sikrer ledelsens godkendelse. Sørger for, at politikker kommunikeres til medarbejdere og opdateres løbende
Leverandør- og adgangsstyring
( Vi hjælper )
med at indgå sikre leverandøraftaler og fastlægge adgangsrettigheder, så kun relevante personer får adgang til information.
Medarbejder awareness og træning
( Vi sikrer )
at alle medarbejdere får den nødvendige træning og awareness om informationssikkerhed.
Tekniske og fysiske sikkerhedsforanstaltninger
( Vi rådgiver om sikkerhed )
ved fjernarbejde, fysisk adgangskontrol, backup og beskyttelse mod strøm- og systemnedbrud.
Ønsker at vide
mere?
STYRING AF INFORMATIONSSIKKERHED
For at beskytte organisationens informationer skal der være klare sikkerhedspolitikker og sikre aftaler med leverandører, tilpasset deres rolle og adgang til information. // LÆS MEREFor at sikre dette er det vigtigt at have veldefinerede informationssikkerhedspolitikker, som godkendes og formidles af ledelsen. Samtidig skal der være fokus på, at samarbejdet med leverandører sker sikkert gennem aftaler, der afspejler deres ansvar og adgang til information. Det handler både om at have tydelige politikker for informationssikkerhed og om at stille konkrete krav til leverandører. Nedenfor uddybes disse krav gennem politikker og håndtering af leverandøraftaler.
5.1 Politikker for informationssikkerhed
Informationssikkerhedspolitik og emnespecifikke politikker skal defineres, godkendes af ledelsen, offentliggøres, kommunikeres til og anerkendes af relevante medarbejdere og relevante interessenter og vurderes med planlagte mellemrum samt hvis der sker væsentlige ændringer.
5.20 Håndtering af informationssikkerhed i leverandøraftaler
Relevante informationssikkerhedskrav skal fastlægges og aftales med hver enkelt leverandør på grundlag af typen af leverandørforhold.
UDDANNELSE OG SIKKERHEDSTILTAG
For at sikre effektiv informationssikkerhed er det afgørende, at organisationens medarbejdere er veluddannede og opmærksomme på de nødvendige sikkerhedsforanstaltninger, herunder regler og procedurer // LÆS MEREFor at opretholde en høj standard for informationssikkerhed er det ikke nok kun at have de rette politikker og procedurer. Organisationens medarbejdere og relevante interessenter skal løbende modtage passende uddannelse og træning om informationssikkerhed. Dette inkluderer regelmæssige opdateringer om organisationens informationssikkerhedspolitik, emnespecifikke politikker og procedurer, der er relevante for deres jobfunktioner.
Derudover skal organisationen implementere nødvendige sikkerhedstiltag for medarbejdere, der arbejder på afstand. Dette er især vigtigt for dem, der arbejder eksternt eller fra fjerntliggende lokaliteter, hvor information kan blive behandlet eller lagret udenfor organisationens fysiske rammer. Det er derfor vigtigt at have de rette sikkerhedsforanstaltninger på plads for at beskytte følsomme data, når medarbejdere arbejder uden for virksomhedens umiddelbare kontrol. Nedenfor uddybes disse krav.
6.3 Awareness, uddannelse og træning vedrørende informationssikkerhed
Organisationens medarbejdere og relevante interessenter skal modtage passende awareness, uddannelse og træning vedrørende informationssikkerhed samt regelmæssige opdateringer om organisationens informationssikkerhedspolitik, emnespecifikke politikker og procedurer, hvor det er relevant for deres jobfunktion.
6.7 Distancearbejde
Der skal være implementerede sikkerhedstiltag, nar medarbejdere arbejder pa afstand, for at beskytte information, der er adgang til, og som behandles eller lagres uden for organisationens lokaliteter.
Find mere om ISO 27001 her
FYSISK OG FORSYGNINGSSIKKERHED
For at beskytte organisationens aktiver og sikre driftstabilitet, skal der etableres adgangskontroller for sikrede områder og sikre foranstaltninger mod strøm- og forsyningssvigt // LÆS MEREFor at beskytte organisationens fysiske aktiver er det essentielt at implementere effektive adgangskontroller, så kun autoriserede personer kan få adgang til kritiske områder. Det kan omfatte alt fra adgangskort og biometriske løsninger til sikkerhedspersonale, der holder øje med adgangspunkterne og sikrer, at der ikke opstår uautoriseret adgang.
Samtidig er det afgørende, at informationsbehandlingsfaciliteter er beskyttet mod strømbrud og andre forsyningsproblemer. Her handler det om at have backup-strømsystemer og nødstrømsanlæg, der sikrer, at organisationen kan fortsætte sine operationer, selv hvis der opstår problemer med strømforsyningen. Med de rette foranstaltninger kan organisationen undgå forstyrrelser og beskytte både data og driftsstabilitet, selv under uventede hændelser. Nedenfor uddybes disse krav.
7.2 Fysisk adgangskontrol
Sikrede områder skal beskyttes ved hjælp af passende adgangsforanstaltninger og adgangspunkter.
7.11 Forsyningssikkerhed
lnformationsbehandlingsfaciliteter skal beskyttes mod strømsvigt og andre forstyrrelser som følge af svigt af understøttende forsyninger.
Find mere om ISO 27001 her
ADGANGSKONTROL OG BACKUP
For at beskytte organisationens informationer skal adgangen begrænses i henhold til politikker, og regelmæssige backups skal sikre, at information og systemer er beskyttet mod tab // LÆS MEREAdgang til organisationens information og understøttende aktiver skal strengt begrænses baseret på emnespecifikke politikker, som definerer, hvem der har ret til at tilgå hvad. Dette sikrer, at kun autoriserede personer har adgang til følsomme data og systemer, hvilket reducerer risikoen for uautoriseret adgang eller databrud.
Derudover er det essentielt at opretholde en pålidelig backup-struktur for information, software og systemer. Backups skal vedligeholdes regelmæssigt og testes for at sikre, at data kan genskabes hurtigt og effektivt i tilfælde af datatab eller systemfejl. Denne proces er afgørende for at opretholde organisationens drift og beskytte mod potentielle datakatastrofer. Nedenfor uddybes disse krav kort.
8.3 Begrænset adgang til information
Adgang til information og understøttende aktiver skal begrænses i overensstemmelse med den fastlagte emnespecifikke politik for administration af adgang.
8.13 Backup af information
Backup af information, software og systemer skal vedligeholdes og testes regelmæssigt i overensstemmelse med den aftalte emnespecifikke politik for backup.
Find mere om ISO 27001 her
Kontakt
//nesp.ONE
Vil du styrke din cybersikkerhed, sikre compliance eller få en mere praktisk tilgang til IT-sikkerhed? Udfyld formularen, så tager vi en uforpligtende snak om, hvordan vi kan hjælpe dig med at finde den rette løsning!