Den komplette
ISO 27001-guide.
ISO/IEC 27001 er den internationale standard for informationssikkerhedsstyring og den primære referenceramme for organisationer der ønsker at styre informationssikkerhedsrisici systematisk. Certificering er et stærkt signal til kunder, partnere og myndigheder om modent sikkerhedsarbejde.
KORT SVAR
ISO 27001 er den internationale standard for informationssikkerhedsstyring. Certificering kræver et ISMS, risikovurdering og relevante Annex A-kontroller (93 i 2022-versionen). Processen tager typisk 6-18 måneder og dokumenterer modent sikkerhedsarbejde over for kunder og myndigheder.
Den komplette ISO 27001-guide
ISO 27001 er ikke en teknisk standard, det er en styringsstandard. Den specificerer hvad en organisation skal gøre for at styre informationssikkerhedsrisici systematisk, men overlader hvordan til den enkelte organisation. Det gør den fleksibel og anvendelig på tværs af brancher, størrelser og teknologiplatforme.
Standarden i to dele
Hoveddelen (klausul 4-10) specificerer de bindende ISMS-krav: Kontekst og omfang (4), Ledelse og commitment (5), Planlægning og risikovurdering (6), Support og ressourcer (7), Drift (8), Præstationsevaluering og intern audit (9), Forbedring (10). Annex A indeholder 93 informationssikkerhedskontroller fordelt på 4 temaer: Organisatorisk (37 kontroller), Menneskelig (8), Fysisk (14), Teknologisk (34).
ISO 27001:2022, de vigtigste ændringer
Den seneste revision i 2022 introducerede 11 nye kontroller der adresserer moderne trusler: Threat Intelligence, Cloud Services Security, ICT Supply Chain Security, Information Deletion, Data Masking, Data Leakage Prevention, Monitoring Activities, Web Filtering og Secure Coding. Strukturen er ændret fra 114 kontroller i 14 domæner til 93 kontroller i 4 temaer.
Certificeringsprocessen
Vejen til ISO 27001-certificering forløber typisk over 6-18 måneder:
- Gap-analyse (identificér afstand til standarden)
- Implementering (politikker, kontroller, processer)
- Intern audit (verificér compliance)
- Stage 1-audit (dokumentgennemgang af akkrediteret certificeringsorgan)
- Stage 2-audit (operationel verificering)
- Certificering (3-årig cyklus med overvågningsaudits år 1 og 2)
Overlap med NIS2 og GDPR
ISO 27001-implementering adresserer størstedelen af NIS2's tekniske krav (artikel 21) og støtter GDPR's krav om passende tekniske og organisatoriske foranstaltninger (artikel 32). Mange organisationer vælger at implementere de tre frameworks parallelt for at udnytte overlap og reducere den samlede compliance-byrde.
ISO 27001 og BestSecurity
BestSecurity.IO tracker dine ISO 27001-kontroller kontinuerligt, viser real-time compliance-status pr. Annex A-kontrol og genererer auditdokumentation på minutter. Platformen mapper automatisk overlap med NIS2 og GDPR, så I undgår dobbeltarbejde.
OFTE STILLEDE SPØRGSMÅL
Hvad ændrede sig med ISO 27001:2022?
Standarden blev revideret fra 114 kontroller i 14 domæner til 93 kontroller i 4 temaer: Organisatorisk, Menneskelig, Fysisk og Teknologisk. 11 nye kontroller adresserer moderne trusler som cloud-sikkerhed og threat intelligence.
Er alle Annex A-kontroller obligatoriske?
Nej. I vælger kontroller baseret på jeres risikovurdering og dokumenterer fravalg i en Statement of Applicability. Det er dette dokument der afgør, hvilke af de 93 kontroller I implementerer.
Overlapper ISO 27001 med NIS2 og GDPR?
Ja, markant. ISO 27001 dækker størstedelen af NIS2 artikel 21 og opfylder GDPR artikel 32s krav om passende tekniske og organisatoriske foranstaltninger. Mange organisationer implementerer de tre parallelt.
Kan BestSecurity.IO hjælpe med ISO 27001-sporing?
Ja. BestSecurity.IO tracker jeres Annex A-kontroller løbende, viser compliance-status pr. kontrol og genererer auditdokumentation. Platformen mapper automatisk overlap med NIS2 og GDPR.
Skal vi gennemgå jeres ISO 27001-status?
Vi viser jer hvor langt I er fra Annex A's 93 kontroller, hvad der mangler, og hvordan BestSecurity.IO kan automatisere overvågningen. Helt uden binding.
Eller ring 82 82 82 95