Blog

Hvad er ISO27001?

Hvordan ISO27000-serien hjælper med at skabe struktur, styring og modstandsdygtighed i danske virksomheder og organisationer.

Cyberangreb, ransomware, datalæk og nedbrud er ikke længere noget, der kun rammer “de store” eller “de andre”. Danske virksomheder i alle størrelser oplever stigende krav fra kunder, myndigheder og samarbejdspartnere om dokumenteret IT-sikkerhed. Samtidig bliver trusselsbilledet mere komplekst i takt med at teknologien udvikler sig.

I denne virkelighed er det ikke nok blot at implementere tekniske løsninger. Der er behov for struktur, fælles begreber, ledelsesmæssig forankring og konkrete sikkerhedskontroller.

Spørgsmålet er derfor ikke, om man skal arbejde struktureret med informationssikkerhed – men hvordan man gør det rigtigt.

ISO27000-serien udgør den internationale referenceramme for professionel informationssikkerhed. Serien består blandt andet af:

  • ISO27000, som fastlægger begreber og overordnede principper.
  • ISO27001, som opstiller kravene til et ledelsessystem for informationssikkerhed (ISMS).
  • ISO27002, som beskriver de konkrete sikkerhedskontroller  og best practice.

Sammen skaber de et helhedsorienteret styringsgrundlag, der forbinder terminologi, ledelse og praksis.

Hvad er ISO27000?

Arbejdet med informationssikkerhed begynder med en fælles begrebsramme. ISO27000 definerer centrale termer som:

  • Informationsaktiv.
  • Risiko.
  • Trussel.
  • Sårbarhed.
  • Kontrol.
  • Informationssikkerhedshændelse.
  • Ledelsessystem.

Uden ensartede definitioner opstår fortolkningsusikkerhed, inkonsistente risikovurderinger og sporadisk dokumentation. ISO27000 hjælper organisationen med, at tale samme sprog, når der arbejdes med informationssikkerhed.

Standarden tydeliggør samtidig de tre grundprincipper:

  • Fortrolighed – kun autoriserede personer har adgang.
  • Integritet – data er korrekte og uændrede.
  • Tilgængelighed – information og systemer er tilgængelige ved behov.

ISO27000 er ikke certificerbar i sig selv, men den udgør fundamentet for hele ISO27000-serien. Den skaber den konceptuelle og terminologiske ramme, som ISO27001 og ISO27002 bygger videre på.

 

Hvad er ISO27001?

Hvor ISO27000 definerer begreberne, fastlægger ISO27001 kravene til etablering, implementering, vedligeholdelse og løbende forbedring af et informationssikkerhedsledelsessystem (ISMS).

ISO27001 er en ledelsesstandard. Den forankrer informationssikkerhed på strategisk niveau og stiller krav til governance, dokumentation og kontinuerlig forbedring.

IT-sikkerhed starter med ledelsen

ISO27001 (klausul 5) fastslår, at informationssikkerhed er et ledelsesansvar. Det handler ikke kun om teknik – men om prioritering, risikoforståelse og strategisk retning.

Når ledelsen:

  • Fastlægger en informationssikkerhedspolitik.
  • Definerer roller og ansvar.
  • Allokerer nødvendige ressourcer.
  • Integrerer sikkerhed i virksomhedens strategi.

Så bliver IT-sikkerhed en del af forretningen – ikke en isoleret IT-disciplin.

 

ISO27001- En risikobaseret tilgang til informationssikkerhed

Kernen i ISO27001 er den systematiske risikostyring (klausul 6). Virksomheden skal:

  1. Identificere informationsaktiver.
  2. Vurdere trusler og sårbarheder.
  3. Analysere sandsynlighed og konsekvens.
  4. Fastlægge risikobehandling.
  5. Dokumentere kontroller i en Statement of Applicability (SoA).

Denne risikobaserede tilgang sikrer, at sikkerhedsforanstaltninger ikke implementeres tilfældigt, men målrettet dér, hvor risikoen reelt er størst.

 

Kontinuerlig forbedring

ISO27001 er opbygget efter PDCA-modellen (Plan-Do-Check-Act) og kræver løbende forbedring (klausul 10).

Det indebærer blandt andet:

  • Interne audits.
  • Ledelsens evaluering.
  • Opfølgning på hændelser.
  • Opdaterede risikovurderinger.

Sikkerhed bliver dermed en dynamisk proces, der udvikler sig i takt med forretningen og trusselsbilledet.

 

Hvad er ISO27002?

Hvor ISO27001 fastlægger hvad der skal etableres, beskriver ISO27002, hvordan kontroller kan implementeres i praksis.

ISO27002 fungerer som et detaljeret katalog over informationssikkerhedskontroller og er tæt koblet til Annex A i ISO27001. Standarden indeholder best practice for organisatoriske, menneskelige, fysiske og tekniske sikkerhedsforanstaltninger.

Den nyeste version af ISO27002 er struktureret i fire kontrolkategorier:

  • Organisatoriske kontroller.
  • Personrelaterede kontroller.
  • Fysiske kontroller.
  • Tekniske kontroller.

Herunder ses eksempler på centrale kontrolområder:

Adgangsstyring
ISO27002 beskriver principper som least privilege, need-to-know og segregation of duties. Rettigheder skal tildeles struktureret, dokumenteres og gennemgås regelmæssigt.

Backup og gendannelse
Backup skal udføres regelmæssigt, testes og dokumenteres. Gendannelse af backup er afgørende for tilgængelighed og robusthed i mod uforudsete hændelser.

Kryptering
Følsomme data skal beskyttes gennem passende kryptografiske kontroller.

Leverandørstyring
Sikkerhedskrav skal indarbejdes i kontrakter, og tredjepartsrisici skal overvåges løbende.

Awareness og træning
Medarbejdere skal forstå deres rolle i informationssikkerheden.

ISO27002 sikrer dermed, at risikovurderingen indeholder foranstaltninger som er konkrete og operationelle.

 

ISO27001 certificering

Organisationer og virksomheder, der arbejder struktureret med hele ISO27000-serien, oplever ofte:

  • Øget kundetillid.
  • Stærkere position i udbud.
  • Bedre compliance med regulatoriske krav.
  • Færre alvorlige sikkerhedshændelser.
  • Klarere interne processer.

Certificering efter ISO27001 kan være en konkurrenceparameter. Men værdien ligger i den organisatoriske modenhed, governance-struktur og risikostyring, som arbejdet med standarderne skaber.

 

En samlet model for en professionel tilgang til informationssikkerhed

ISO27000-serien hænger sammen som en logisk helhed:

  • ISO27000 skaber fælles terminologi og principiel forståelse.
  • ISO27001 etablerer det strukturerede ledelsessystem og kravene til styring.
  • ISO27002 leverer de konkrete kontroller og best practice.

Og tilsammen skaber de en sammenhæng imellem:

  • Fælles sprog.
  • Strategisk forankring.
  • Dokumenteret risikostyring.
  • Operationelle sikkerhedsforanstaltninger.
  • Løbende forbedring.

IT-sikkerhed er i dag en forudsætning for stabil drift, regulatorisk compliance og kundetillid.

ISO27000-serien giver danske organisationer og virksomheder en struktureret og internationalt anerkendt metode til at arbejde professionelt med informationssikkerhed – fra begreb og governance til implementering og drift.

Det handler ikke kun om at undgå angreb.
Det handler om at skabe modstandsdygtighed, troværdighed og langsigtet forretningsværdi gennem en systematisk, dokumenteret og ledelsesforankret tilgang til informationssikkerhed.

Virksomheder, der arbejder helhedsorienteret med ISO27000, ISO27001 og ISO27002, står ganske enkelt stærkere i den digitale verden, vi lever i.

Kim R. Larsen // Cybersikkerhedsekspert Nesp.ONE