Standarden som er grunnlag for sertifiseringsordningen:

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements

ISO/IEC 27001 er verdens mest kjente standard for styringssystemer for informasjonssikkerhet (ISMS). Den definerer krav et ISMS må oppfylle.

ISO/IEC 27001-standarden gir selskaper i alle størrelser og sektorer veiledning for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet.

Samsvar med ISO/IEC 27001 betyr at en organisasjon eller virksomhet har fått på plass et system for å håndtere risiko knyttet til sikkerheten til data som eies eller håndteres av selskapet, og at dette systemet respekterer alle beste praksiser og prinsipper nedfelt i denne internasjonale standarden.

Standardiseringskomite

Standarden er utviklet og forvaltes av den internasjonale komiteen ISO/TC JTC1/SC 27 Informasjonssikkerhet, cybersikkerhet og personvern. Komiteen forvalter over 250 standarder innen IT sikkerhet.

Andre relevante standarder:

ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection Information security controls

ISO/IEC 27003:2017 Informasjonsteknologi
Sikringsteknikker. Ledelsessystemer for informasjonssikkerhet. Veiledning

Håndbok om ISO/IEC 27001:2024 Styringssystemer for informasjonssikkerhet – En praktisk veiledning for små og mellomstore bedrifter.

Formålet med håndboken er å hjelpe små og mellomstore bedrifter med å etablere og vedlikeholde et ISMS i henhold til ISO/IEC 27001. Selv om standarden i seg selv gjelder for organisasjoner i alle størrelser, tar denne håndboken spesifikt for seg nyansene og utfordringene som små og mellomstore bedrifter står overfor – som spenner fra små familiebedrifter til lokale medisinske sentre. Små og mellomstore bedrifter kan bruke denne håndboken til å få et kort sammendrag av kravene til klausulene og underklausulene i ISO/IEC 27001. Håndboken inneholder også eksempler og casestudier for å hjelpe små og mellomstore bedrifter med begrensede ressurser til å forstå og anvende standardene, noe som reduserer behovet for omfattende ekspertise eller betydelige økonomiske investeringer.

Viktige deler i håndboken:

Styringssystemer for informasjonssikkerhet – Forklarer den grunnleggende strukturen til et ISMS og hvordan det kan integreres i daglige forretningsprosesser.

Kjernestrukturen til ISO/IEC 27001 Detaljert forklaring av klausulene fra organisasjonens kontekst (klausul 4) til forbedring (klausul 10), tilpasset SMB-er.

Vedlegg – Inkluder vanlige spørsmål, informasjon om sertifiseringsprosesser og ressurser som nettsteder og internasjonale standarder som kan gi ytterligere støtte.

Med økende nettkriminalitet og stadig nye trusler som dukker opp, kan det virke vanskelig eller til og med umulig å håndtere cyberrisiko. ISO/IEC 27001 hjelper organisasjoner med å bli risikobevisste og proaktivt identifisere og adressere svakheter.

ISO/IEC 27001 fremmer en helhetlig tilnærming til informasjonssikkerhet: kontroll av mennesker, retningslinjer og teknologi. Et styringssystem for informasjonssikkerhet implementert i henhold til denne standarden er et verktøy for risikostyring, cyber-resiliens og operasjonell fortreffelighet.

Standarden egner seg både for store som små virksomheter. Små virksomheter vil kunne forbedre sin markedsposisjon ved å ta i bruk standarden tidlig.

Standarden gir følgende fordeler:

• Motstandskraft mot cyberangrep
• Beredskap mot nye trusler
• Dataintegritet, konfidensialitet og tilgjengelighet
• Sikkerhet på tvers av alle støtter
• Beskyttelse for hele organisasjonen
• Kostnadsbesparelser
• Sikre kontinuerlig forbedring

Når organisasjonen velger å sertifisere seg i tråd med kravene i en ledelsessystemstandard utarbeider sertifiseringsorganet pristilbud med forslag til prosess og betingelser. Pristilbudet beregnes etter krav i internasjonale akkrediteringsstandarder og hensyntar bla organisasjonens størrelse, lokaliteter, bransjetilhørighet (NACE kode), kompleksitet og risiko. Pristilbudet vil omfatte et estimert antall timer som sertifiseringsorganet antas å bruke til revisjonene. Om tilbudet er akseptabelt for organisasjonen signeres en felles kontrakt.

Revisjonsprogram

Før sertifiseringsorganet igangsetter revisjonsprosesser utarbeides det et forslag til et helhetlig revisjonsprogram med oversikt over alle revisjonsaktiviteter for den første syklusen. Formålet med revisjonsprogrammet er å gi en oversikt over alle revisjonsaktiviteter og metodene som skal brukes, frekvensen av revisjoner, ansvar og krav som skal oppfylles. Revisjonsprogrammet gjennomgås regelmessig gjennom syklusen for å identifisere behov for endringer og muligheter for forbedringer.

Før hver sertifiseringsrevisjon i syklusen utarbeider sertifiseringsorganet en detaljert revisjonsplan som beskriver detaljene for den angitte sertifiseringsrevisjon, hva som skal revideres, risikoforhold, når det skal revideres, og hvem som skal delta fra organisasjonen og hvem som er revisjonsleder.

Organisasjonens forberedelser

Før sertifiseringsprosessen starter må organisasjonen må ha tatt i bruk og implementert standarden i organisasjonen. Det er en fordel om det også er gjennomført en internkontroll eller internrevisjon gjerne med en intern revisor eller ekstern veileder som avklarer om systemet er modent for tredjeparts revisjon. Med tredjeparts revisjon menes systemrevisjoner som utføres av et sertifiseringsorgan som er akkrediterte for å utføre tredjeparts systemsertifisering og som kan utstede sertifikater etter kravene i standarden.

Oppfølgingsrevisjoner gjennomføres en gang i året. Årlig oppfølging er en nødvendig del for at organisasjonen skal opprettholde sertifiseringen. I løpet av årene i syklusen skal alle delene av ledelsessystemet gjennomgås og de ulike temaene fordeles over årene. Alle oppfølgingsrevisjoner etableres med datoer i rapporten under forrige aktivitet.

Årlig revisjon vil omhandle hvordan organisasjonen jobber med kontinuerlig forbedring, tilbakemeldinger fra kunder, internrevisjoner, endringer i ledelsessystemet, endringer i organisasjon og arbeidsprosesser, risikoforhold mv. Dokumentasjonen i ledelsessystemet med prosedyrer skal alltid være i samsvar med gjeldende praksis i organisasjonen og etterlevelse skal dokumenteres til enhver tid. Årlig oppfølgingsrevisjon inkluderer både dokumentgjennomgang og stedlig revisjon hos organisasjonen.

Dersom det ble avdekket avvik ved forrige revisjon vil disse blir gjennomgått for å sikre at de er korrigerte. Om organisasjonen har flere lokasjoner, vil det normalt bli gjennomført revisjon på hovedkontoret, samt på noen utvalgte lokasjoner som har ulike arbeidsprosesser og risikoforhold. Nye avvik kan identifiseres og må rettes opp innen en frist som blir satt av sertifiseringsorganet.

Dersom revisor finner at ledelsessystemet er implementert og oppfyller kravene, sendes revisjonsdokumentene til vedtaksansvarlig i Norsk Sertifisering som gjennomgår revisjonen og fatter vedtak om utstedelse av sertifikat.

Sertifikatet er et bevis på at organisasjonen driver i tråd med kravene i standarden. Når alle krav er oppfylt og eventuelle avvik er rettet opp, vil sertifiseringsorganet utstede et sertifikat som bekrefter at organisasjonen oppfyller standardens krav.

Sertifikatet har en gyldighetstid på 3 år.

Sertifikatet forutsetter årlig oppfølging og kontroll fra sertifiseringsorganet. Årlig oppfølging kan være tematisk gjennomgang av enkelte områder basert på risiko.

Alle sertifiserte organisasjoner får utstedt et eget sertifikat og kan samtidig ta i bruk et eget merke som er utviklet for den angitte sertifiseringsordning.

Bruk av logoer og merker forutsetter at sertifiseringsorganets retningslinjer for bruk av logo og merker følges, se våre nettsider.

Oppfølgingsrevisjoner gjennomføres en gang i året. Årlig oppfølging er en nødvendig del for at organisasjonen skal opprettholde sertifiseringen. I løpet av årene i syklusen skal alle delene av ledelsessystemet gjennomgås og de ulike temaene fordeles over årene. Alle oppfølgingsrevisjoner etableres med datoer i rapporten under forrige aktivitet.

Årlig revisjon vil omhandle hvordan organisasjonen jobber med kontinuerlig forbedring, tilbakemeldinger fra kunder, internrevisjoner, endringer i ledelsessystemet, endringer i organisasjon og arbeidsprosesser, risikoforhold mv. Dokumentasjonen i ledelsessystemet med prosedyrer skal alltid være i samsvar med gjeldende praksis i organisasjonen og etterlevelse skal dokumenteres til enhver tid. Årlig oppfølgingsrevisjon inkluderer både dokumentgjennomgang og stedlig revisjon hos organisasjonen.

Dersom det ble avdekket avvik ved forrige revisjon vil disse blir gjennomgått for å sikre at de er korrigerte. Om organisasjonen har flere lokasjoner, vil det normalt bli gjennomført revisjon på hovedkontoret, samt på noen utvalgte lokasjoner som har ulike arbeidsprosesser og risikoforhold. Nye avvik kan identifiseres og må rettes opp innen en frist som blir satt av sertifiseringsorganet.

Resertifisering er prosessen der organisasjonen etter 3 år fornyer sitt sertifikat. Formålet med resertifiseringen er å bevise at organisasjonen kontinuerlig opprettholder og forbedrer sitt ledelsessystem, at kravene i standarden oppfylles, og at ledelsessystemet har en forbedret og mer effektiv ytelse. En resertifisering skal verifisere at organisasjonens ledelsessystem som helhet har gjennomgått forbedringer i løpet av sertifiseringsperioden eksempelvis forbedret kundekvalitet eller nedgang i miljøpåvirkning.

Resertifisering er en omfattende prosess hvor sertifiseringsorganet gjennomfører en hovedrevisjon og organisasjonen bør prioritere tid både til forberedelse, gjennomføring og oppfølging i etterkant av revisjonen.

Organisasjonen bør gjennomgå sitt ledelsessystem i god tid før kommende revisjonsbesøk og sikre at alle prosesser og prosedyrer er oppdaterte og i samsvar med kravene i standarden slik de praktiseres og etterleves i organisasjonen. Det bør gjennomføres en internrevisjon og resultater av avvikssystemet bør gjennomgås for å identifisere og rette opp eventuelle avvik før den eksterne revisjonen. Videre bør den årlige ledelsens gjennomgåelse være gjennomført og organisasjonen bør identifisere muligheter for forbedringer og iverksette forbedringstiltak.

Resertifisering med ekstern revisjon må gjennomføres i god tid innen utløpsdato, slik at organisasjonen har tilstrekkelig tid for å lukke eventuelle avvik som måtte identifiseres av revisorene under resertifiseringen. Sertifiseringsorganet vil gjennomføre en ekstern revisjon (3. parts revisjon) med gjennomgang av alle områder i standarden. Dette inkluderer organisasjonens dokumentasjon, prosesser og praksis for å sikre samsvar med kravene i standarden. Etter ekstern revisjon mottar organisasjonen en revisjonsrapport med forklaring på alle funn og eventuelle avvik. Alle avvik som oppdages under den eksterne revisjonen må rettes opp av organisasjonen innen en gitt tidsramme. Når alle avvik er korrigert, vil sertifiseringsorganet utstede et nytt sertifikat til organisasjonen.