Kontakt
ISO 27001 Informasjonsikkerhet
ISO/IEC 27001 gir støtte til organisasjoner som ønsker å arbeide systematisk for å styrke sin informasjonssikkerhet. ISO/IEC 27001 hjelper organisasjoner med å bli risikobevisste og proaktivt identifisere og adressere svakheter.
ISO/IEC 27001 er verdens mest brukte standard for styringssystemer for informasjonssikkerhet (ISMS) og definerer hvilke krav som organisasjonen må oppfylle.
Arbeid med informasjonssikkerhet handler om å administrere både interne og eksterne informasjonsressurser på en sikker og trygg måte. Alt av organisasjonens informasjon som programvare, forretningssystemer, personopplysninger, registreringer i fagsystemer kan utsettes for trusler og IT-angrep. ISO/IEC 27001 fremmer en helhetlig tilnærming til informasjonssikkerhet med kontroll av mennesker, retningslinjer og teknologi. Standarden gir veiledning for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet.
Ved å ta i bruk ISO/IEC 27001 blir organisasjonen mer robust mot personvernlekkasjer, datatyveri og cyberangrep. Organisasjonen får også bedre kontroll over sine kritiske eiendeler og mulighet til å utnytte egne ressurser bedre.
Organisasjonen får ved ISO 27001 et godt verktøy for å jobbe strategisk relatert til egne behov for informasjonssikkerhet og hvordan disse skal møtes med mål, prosesser og struktur. Virksomheten vil få en arbeidsmetodikk for systematisk å dokumentere informasjonsmidler, klassifisere eiendeler, identifisere riktig beskyttelsesnivå og utvikle støttedokumenter i form av policyer, prosedyrer og sjekklister.
Standarden inneholder krav til et styringssystem for informasjonssikkerhet og bruker en risikostyringsprosess som er tilpasset den enkelte organisasjons størrelse og behov, og gjør det mulig for organisasjonen å skalere etter behov etter hvert som risikofaktorene utvikler seg.
Standarden inneholder tre prinsipper for informasjonssikkerhet kjent som CIA-triaden:
Konfidensialitet
→ betydning: Bare de riktige personene kan få tilgang til informasjonen som organisasjonen har.
⚠ Risikoeksempel: Kriminelle får tak i kundenes påloggingsdetaljer og selger dem på Darknet.
Informasjonsintegritet
→ Betydning: Data som organisasjonen bruker til å drive sin virksomhet eller holder trygge for andre, lagres pålitelig og slettes eller skades ikke.
⚠ Eksempel på risiko: En ansatt sletter ved et uhell en rad i en fil under behandlingen.
Tilgjengelighet av data:
→ Betydning: Organisasjonen og dens kunder kan få tilgang til informasjonen når det er nødvendig, slik at forretningsformål og kundeforventninger blir oppfylt.
⚠ Risikoeksempel: Bedriftsdatabasen kobles fra på grunn av serverproblemer og utilstrekkelig sikkerhetskopiering.
Et styringssystem for informasjonssikkerhet som oppfyller kravene i ISO/IEC 27001 bevarer konfidensialiteten, integriteten og tilgjengeligheten til informasjon ved å bruke en risikostyringsprosess og gir tillit til interesserte parter om at risikoer håndteres tilstrekkelig.
Arbeidet med å implementere et styringssystem innen Informasjonssikkerhet inkluderer:
- Utarbeide en oversikt over gjeldende informasjonsressurser og implementere beskyttelse for dem.
- Etablere en informasjonssikkerhetspolicy.
- Identifisere og klassifisere tilleggsinformasjonsressurser og finne riktig beskyttelsesnivå for dem.
- Identifisere risikoer, muligheter og interessenter for styringssystemet.
- Etablere rutiner og prosedyrer som understøtter arbeidet.
- Lage et system for å følge opp og kontinuerlig utvikle styringssystemets funksjoner og bruk.
Standarden som er grunnlag for sertifiseringsordningen:
ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection - Information security management systems - Requirements
ISO/IEC 27001 er verdens mest kjente standard for styringssystemer for informasjonssikkerhet (ISMS). Den definerer krav et ISMS må oppfylle.
ISO/IEC 27001-standarden gir selskaper i alle størrelser og sektorer veiledning for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet.
Samsvar med ISO/IEC 27001 betyr at en organisasjon eller virksomhet har fått på plass et system for å håndtere risiko knyttet til sikkerheten til data som eies eller håndteres av selskapet, og at dette systemet respekterer alle beste praksiser og prinsipper nedfelt i denne internasjonale standarden.
Standardiseringskomite
Standarden er utviklet og forvaltes av den internasjonale komiteen ISO/TC JTC1/SC 27 Informasjonssikkerhet, cybersikkerhet og personvern. Komiteen forvalter over 250 standarder innen IT sikkerhet.
Andre relevante standarder:
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection Information security controls
ISO/IEC 27003:2017 Informasjonsteknologi
Sikringsteknikker. Ledelsessystemer for informasjonssikkerhet. Veiledning
Håndbok om ISO/IEC 27001:2024 Styringssystemer for informasjonssikkerhet - En praktisk veiledning for små og mellomstore bedrifter.
Formålet med håndboken er å hjelpe små og mellomstore bedrifter med å etablere og vedlikeholde et ISMS i henhold til ISO/IEC 27001. Selv om standarden i seg selv gjelder for organisasjoner i alle størrelser, tar denne håndboken spesifikt for seg nyansene og utfordringene som små og mellomstore bedrifter står overfor – som spenner fra små familiebedrifter til lokale medisinske sentre. Små og mellomstore bedrifter kan bruke denne håndboken til å få et kort sammendrag av kravene til klausulene og underklausulene i ISO/IEC 27001. Håndboken inneholder også eksempler og casestudier for å hjelpe små og mellomstore bedrifter med begrensede ressurser til å forstå og anvende standardene, noe som reduserer behovet for omfattende ekspertise eller betydelige økonomiske investeringer.
Viktige deler i håndboken:
Styringssystemer for informasjonssikkerhet - Forklarer den grunnleggende strukturen til et ISMS og hvordan det kan integreres i daglige forretningsprosesser.
Kjernestrukturen til ISO/IEC 27001 Detaljert forklaring av klausulene fra organisasjonens kontekst (klausul 4) til forbedring (klausul 10), tilpasset SMB-er.
Vedlegg – Inkluder vanlige spørsmål, informasjon om sertifiseringsprosesser og ressurser som nettsteder og internasjonale standarder som kan gi ytterligere støtte.
Med økende nettkriminalitet og stadig nye trusler som dukker opp, kan det virke vanskelig eller til og med umulig å håndtere cyberrisiko. ISO/IEC 27001 hjelper organisasjoner med å bli risikobevisste og proaktivt identifisere og adressere svakheter.
ISO/IEC 27001 fremmer en helhetlig tilnærming til informasjonssikkerhet: kontroll av mennesker, retningslinjer og teknologi. Et styringssystem for informasjonssikkerhet implementert i henhold til denne standarden er et verktøy for risikostyring, cyber-resiliens og operasjonell fortreffelighet.
Standarden egner seg både for store som små virksomheter. Små virksomheter vil kunne forbedre sin markedsposisjon ved å ta i bruk standarden tidlig.
Standarden gir følgende fordeler:
- Motstandskraft mot cyberangrep
- Beredskap mot nye trusler
- Dataintegritet, konfidensialitet og tilgjengelighet
- Sikkerhet på tvers av alle støtter
- Beskyttelse for hele organisasjonen
- Kostnadsbesparelser
- Sikre kontinuerlig forbedring
Når organisasjonen velger å sertifisere seg i tråd med kravene i en ledelsessystemstandard utarbeider sertifiseringsorganet pristilbud med forslag til prosess og betingelser. Pristilbudet beregnes etter krav i internasjonale akkrediteringsstandarder og hensyntar bla organisasjonens størrelse, lokaliteter, bransjetilhørighet (NACE kode), kompleksitet og risiko. Pristilbudet vil omfatte et estimert antall timer som sertifiseringsorganet antas å bruke til revisjonene. Om tilbudet er akseptabelt for organisasjonen signeres en felles kontrakt.
Revisjonsprogram
Før sertifiseringsorganet igangsetter revisjonsprosesser utarbeides det et forslag til et helhetlig revisjonsprogram med oversikt over alle revisjonsaktiviteter for den første syklusen. Formålet med revisjonsprogrammet er å gi en oversikt over alle revisjonsaktiviteter og metodene som skal brukes, frekvensen av revisjoner, ansvar og krav som skal oppfylles. Revisjonsprogrammet gjennomgås regelmessig gjennom syklusen for å identifisere behov for endringer og muligheter for forbedringer.
Før hver sertifiseringsrevisjon i syklusen utarbeider sertifiseringsorganet en detaljert revisjonsplan som beskriver detaljene for den angitte sertifiseringsrevisjon, hva som skal revideres, risikoforhold, når det skal revideres, og hvem som skal delta fra organisasjonen og hvem som er revisjonsleder.
Organisasjonens forberedelser
Før sertifiseringsprosessen starter må organisasjonen må ha tatt i bruk og implementert standarden i organisasjonen. Det er en fordel om det også er gjennomført en internkontroll eller internrevisjon gjerne med en intern revisor eller ekstern veileder som avklarer om systemet er modent for tredjeparts revisjon. Med tredjeparts revisjon menes systemrevisjoner som utføres av et sertifiseringsorgan som er akkrediterte for å utføre tredjeparts systemsertifisering og som kan utstede sertifikater etter kravene i standarden.
Systemsertifisering av en organisasjon innebærer at et uhildet akkreditert sertifiseringsorgan kontrollerer at organisasjonen driver i samsvar med de ulike krav til organisasjonen som er satt i standarden. Dette gjøres gjennom både kontroll av organisasjonens dokumenter, intervjuer av ansatte og revisjonsmøter med ledelsen og nøkkelpersonell i organisasjonen.
Sertifiseringsprosessen går i sykluser over 3 år.
Sertifiseringsforløpet starter med en sertifisering i to trinn første gang (år 1), deretter blir organisasjonen fulgt opp på kontroller hvert år, før resertifisering av sertifikatet for en ny syklus på 3 års gyldighet. Ved sertifisering første gang og ved resertifisering gjennomføres som kalles hovedrevisjon hvor man går igjennom alle krav i standarden, mens årlige oppfølgingskontroller kan være mer tematiske og risikobaserte.
Prerevisjon
For organisasjoner som ønsker å sjekke fremdriften med implementeringen av ledelsessystemet eller bare ønsker generalprøve før sertifiseringsrevisjonen, anbefaler vi en prerevisjon. En prerevisjon er den beste måten å få tilbakemelding på hva som må tas opp. I tillegg får organisasjonen et godt innblikk i hvordan systemrevisjoner gjennomføres.
Under en prerevisjon vil vår revisor besøke organisasjonen og gjennomføre en begrenset men relevant revisjon av ledelsessystemet. Etter revisjonen vil organisasjonen ha et bedre innblikk i eventuelle mangler og ha mulighet til å utbedre disse før den obligatoriske sertifiseringsrevisjonen som skjer i to trinn.
Det anbefales at organisasjonen har en ansatt med funksjonsansvar (eksempelvis en sertifisert kvalitetsleder) tilgjengelig som kan følge opp organisasjonen internt både i forberedelse, men også i gjennomføring av revisjonsprosessen. Denne vil også kunne følge opp internt i etterkant av revisjonsbesøket og påse at eventuelle avvik blir lukket av de berørte enheter og funksjonsansvarlige internt i organisasjonen. Les mer om sertifisering av personer på våre nettsider.
Trinn 1: Dokumentrevisjon
Dokumentrevisjonen er et obligatorisk trinn 1 i sertifiseringsprosessen hvor organisasjonens ledelsessystem med prosedyrer og tilhørende dokumentasjon gjennomgås av sertifiseringsorganet. En dokumentgjennomgang omfatter organisasjonens prosedyrer, prosessbeskrivelser, rutiner, strategier, kvalitetspolicy og andre relevante dokumenter som viser hvordan virksomheten oppfyller kravene i standarden.
En revisor oppnevnt av sertifiseringsorganet kontrollerer om det er samsvar opp mot kravene i standarden eller om noe mangler. Etter gjennomgangen informerer revisor om sine observasjoner og eventuelle forbedringer. Det gis ingen avvik under trinn 1, men organisasjonen bør rette opp forslag til forbedringer før de kan gå i gang med trinn 2.
Det kan være hensiktsmessig å gjennomføre trinn 1 internt i sertifiseringsorganet eventuelt med en fjernrevisjon via teams som gjør revisjonen enklere og timeligere samtidig som at funn likevel sikres.
Trinn 2: Sertifiseringsrevisjon
Målet med sertifiseringsrevisjonen er å kontrollere samsvar mellom ledelsessystemet og kravene i standarden. Revisjonen skal avdekke om systemet oppfyller kravene etter gjeldende standard, at prosessene er implementert effektivt og fungerer etter hensikten, og at etterlevelsen av kravene kan demonstreres og dokumenteres av ulike deler av organisasjonen. Det avdekkes også om organisasjonen har en kultur og praksis for kontinuerlig forbedring med oppfølging av mål og aktiviteter, internkontroll, ledelsens gjennomgåelse mv.
Sertifiseringsrevisjonen utføres av et oppnevnt revisjonsteam fra sertifiseringsorganet. Revisjonsteamet settes sammen ut fra størrelsen på selskapet, kompleksiteten i virksomheten og de lokalitetene/anleggene som berøres, og består gjerne av en revisjonsleder, aktuelle revisorer og bransjeeksperter.
Revisjonsteamet gjennomfører en stedlig revisjon hos organisasjonen hvor man går igjennom ledelsessystemet i sin helhet og kontrollerer hvordan det er implementert og brukes av ulike roller i organisasjonen. Dersom organisasjonen har flere lokasjoner med ulike arbeidsprosesser, skal også disse besøkes i løpet av revisjonsprogrammet.
Revisjonen starter med et åpningsmøte og følger deretter et avtalt program med intervjuer og demonstrasjoner fra ulike deler av organisasjonen fram mot et felles sluttmøte. På et avsluttende møte presenteres resultatene og eventuelle avvik gjennomgås. Organisasjonens ledelse plikter å være med både på åpningsmøtet og sluttmøtet. En systemrevisjon kan ta flere dager avhengig av organisasjonens størrelse og omfang.
Revisjonsrapport
Under sertifiseringsrevisjonen identifisere sertifiseringsorganet ulike funn. Dersom ledelsessystemet og etterlevelsen av standardens krav ikke er i tråd med kravene i standarden defineres disse funnene som avvik eller observasjoner. Avvikene graderes og dersom noen av avvikene er alvorlige vil organisasjonen måtte gjennomføre en årsaksanalyse og identifisere korrigerende tiltak for å lukke disse avvikene.
Alle funn som identifiseres under revisjonen blir gjennomgått under revisjonen og føres inn i en revisjonsrapport som sendes organisasjonen i etterkant av revisjonen. Revisjonsrapporten gir en oversikt over organisasjonens samsvar med kravene samt oppsummerer alle funn fra revisjonen. Dersom det er registrert avvik angir rapporten en frist lukking av avvikene. Når alle kravene er oppfylt og eventuelle avvik er korrigert, vil organisasjonen bli anbefalt for sertifisering.
Lukking av avvik
Eventuelle avvik må lukkes av organisasjonen før sertifikater kan utstedes. Dersom det viser seg nødvendig grunnet større avvik uten tilfredsstillende lukking, kan det sertifiseringsorganet foreta et nytt besøk hos organisasjonen for å revidere det aktuelle området som ikke er tilfredsstillende lukket.
Dersom revisor finner at ledelsessystemet er implementert og oppfyller kravene, sendes revisjonsdokumentene til vedtaksansvarlig i Norsk Sertifisering som gjennomgår revisjonen og fatter vedtak om utstedelse av sertifikat.
Sertifikatet er et bevis på at organisasjonen driver i tråd med kravene i standarden. Når alle krav er oppfylt og eventuelle avvik er rettet opp, vil sertifiseringsorganet utstede et sertifikat som bekrefter at organisasjonen oppfyller standardens krav.
Sertifikatet har en gyldighetstid på 3 år.
Sertifikatet forutsetter årlig oppfølging og kontroll fra sertifiseringsorganet. Årlig oppfølging kan være tematisk gjennomgang av enkelte områder basert på risiko.
Alle sertifiserte organisasjoner får utstedt et eget sertifikat og kan samtidig ta i bruk et eget merke som er utviklet for den angitte sertifiseringsordning.
Bruk av logoer og merker forutsetter at sertifiseringsorganets retningslinjer for bruk av logo og merker følges, se våre nettsider.
Oppfølgingsrevisjoner gjennomføres en gang i året. Årlig oppfølging er en nødvendig del for at organisasjonen skal opprettholde sertifiseringen. I løpet av årene i syklusen skal alle delene av ledelsessystemet gjennomgås og de ulike temaene fordeles over årene. Alle oppfølgingsrevisjoner etableres med datoer i rapporten under forrige aktivitet.
Årlig revisjon vil omhandle hvordan organisasjonen jobber med kontinuerlig forbedring, tilbakemeldinger fra kunder, internrevisjoner, endringer i ledelsessystemet, endringer i organisasjon og arbeidsprosesser, risikoforhold mv. Dokumentasjonen i ledelsessystemet med prosedyrer skal alltid være i samsvar med gjeldende praksis i organisasjonen og etterlevelse skal dokumenteres til enhver tid. Årlig oppfølgingsrevisjon inkluderer både dokumentgjennomgang og stedlig revisjon hos organisasjonen.
Dersom det ble avdekket avvik ved forrige revisjon vil disse blir gjennomgått for å sikre at de er korrigerte. Om organisasjonen har flere lokasjoner, vil det normalt bli gjennomført revisjon på hovedkontoret, samt på noen utvalgte lokasjoner som har ulike arbeidsprosesser og risikoforhold. Nye avvik kan identifiseres og må rettes opp innen en frist som blir satt av sertifiseringsorganet.
Resertifisering er prosessen der organisasjonen etter 3 år fornyer sitt sertifikat. Formålet med resertifiseringen er å bevise at organisasjonen kontinuerlig opprettholder og forbedrer sitt ledelsessystem, at kravene i standarden oppfylles, og at ledelsessystemet har en forbedret og mer effektiv ytelse. En resertifisering skal verifisere at organisasjonens ledelsessystem som helhet har gjennomgått forbedringer i løpet av sertifiseringsperioden eksempelvis forbedret kundekvalitet eller nedgang i miljøpåvirkning.
Resertifisering er en omfattende prosess hvor sertifiseringsorganet gjennomfører en hovedrevisjon og organisasjonen bør prioritere tid både til forberedelse, gjennomføring og oppfølging i etterkant av revisjonen.
Organisasjonen bør gjennomgå sitt ledelsessystem i god tid før kommende revisjonsbesøk og sikre at alle prosesser og prosedyrer er oppdaterte og i samsvar med kravene i standarden slik de praktiseres og etterleves i organisasjonen. Det bør gjennomføres en internrevisjon og resultater av avvikssystemet bør gjennomgås for å identifisere og rette opp eventuelle avvik før den eksterne revisjonen. Videre bør den årlige ledelsens gjennomgåelse være gjennomført og organisasjonen bør identifisere muligheter for forbedringer og iverksette forbedringstiltak.
Resertifisering med ekstern revisjon må gjennomføres i god tid innen utløpsdato, slik at organisasjonen har tilstrekkelig tid for å lukke eventuelle avvik som måtte identifiseres av revisorene under resertifiseringen. Sertifiseringsorganet vil gjennomføre en ekstern revisjon (3. parts revisjon) med gjennomgang av alle områder i standarden. Dette inkluderer organisasjonens dokumentasjon, prosesser og praksis for å sikre samsvar med kravene i standarden. Etter ekstern revisjon mottar organisasjonen en revisjonsrapport med forklaring på alle funn og eventuelle avvik. Alle avvik som oppdages under den eksterne revisjonen må rettes opp av organisasjonen innen en gitt tidsramme. Når alle avvik er korrigert, vil sertifiseringsorganet utstede et nytt sertifikat til organisasjonen.
Standarden som er grunnlag for sertifiseringsordningen:
ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements
ISO/IEC 27001 er verdens mest kjente standard for styringssystemer for informasjonssikkerhet (ISMS). Den definerer krav et ISMS må oppfylle.
ISO/IEC 27001-standarden gir selskaper i alle størrelser og sektorer veiledning for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet.
Samsvar med ISO/IEC 27001 betyr at en organisasjon eller virksomhet har fått på plass et system for å håndtere risiko knyttet til sikkerheten til data som eies eller håndteres av selskapet, og at dette systemet respekterer alle beste praksiser og prinsipper nedfelt i denne internasjonale standarden.
Standardiseringskomite
Standarden er utviklet og forvaltes av den internasjonale komiteen ISO/TC JTC1/SC 27 Informasjonssikkerhet, cybersikkerhet og personvern. Komiteen forvalter over 250 standarder innen IT sikkerhet.
Andre relevante standarder:
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection Information security controls
ISO/IEC 27003:2017 Informasjonsteknologi
Sikringsteknikker. Ledelsessystemer for informasjonssikkerhet. Veiledning
Håndbok om ISO/IEC 27001:2024 Styringssystemer for informasjonssikkerhet – En praktisk veiledning for små og mellomstore bedrifter.
Formålet med håndboken er å hjelpe små og mellomstore bedrifter med å etablere og vedlikeholde et ISMS i henhold til ISO/IEC 27001. Selv om standarden i seg selv gjelder for organisasjoner i alle størrelser, tar denne håndboken spesifikt for seg nyansene og utfordringene som små og mellomstore bedrifter står overfor – som spenner fra små familiebedrifter til lokale medisinske sentre. Små og mellomstore bedrifter kan bruke denne håndboken til å få et kort sammendrag av kravene til klausulene og underklausulene i ISO/IEC 27001. Håndboken inneholder også eksempler og casestudier for å hjelpe små og mellomstore bedrifter med begrensede ressurser til å forstå og anvende standardene, noe som reduserer behovet for omfattende ekspertise eller betydelige økonomiske investeringer.
Viktige deler i håndboken:
Styringssystemer for informasjonssikkerhet – Forklarer den grunnleggende strukturen til et ISMS og hvordan det kan integreres i daglige forretningsprosesser.
Kjernestrukturen til ISO/IEC 27001 Detaljert forklaring av klausulene fra organisasjonens kontekst (klausul 4) til forbedring (klausul 10), tilpasset SMB-er.
Vedlegg – Inkluder vanlige spørsmål, informasjon om sertifiseringsprosesser og ressurser som nettsteder og internasjonale standarder som kan gi ytterligere støtte.
Med økende nettkriminalitet og stadig nye trusler som dukker opp, kan det virke vanskelig eller til og med umulig å håndtere cyberrisiko. ISO/IEC 27001 hjelper organisasjoner med å bli risikobevisste og proaktivt identifisere og adressere svakheter.
ISO/IEC 27001 fremmer en helhetlig tilnærming til informasjonssikkerhet: kontroll av mennesker, retningslinjer og teknologi. Et styringssystem for informasjonssikkerhet implementert i henhold til denne standarden er et verktøy for risikostyring, cyber-resiliens og operasjonell fortreffelighet.
Standarden egner seg både for store som små virksomheter. Små virksomheter vil kunne forbedre sin markedsposisjon ved å ta i bruk standarden tidlig.
Standarden gir følgende fordeler:
- Motstandskraft mot cyberangrep
- Beredskap mot nye trusler
- Dataintegritet, konfidensialitet og tilgjengelighet
- Sikkerhet på tvers av alle støtter
- Beskyttelse for hele organisasjonen
- Kostnadsbesparelser
- Sikre kontinuerlig forbedring
Når organisasjonen velger å sertifisere seg i tråd med kravene i en ledelsessystemstandard utarbeider sertifiseringsorganet pristilbud med forslag til prosess og betingelser. Pristilbudet beregnes etter krav i internasjonale akkrediteringsstandarder og hensyntar bla organisasjonens størrelse, lokaliteter, bransjetilhørighet (NACE kode), kompleksitet og risiko. Pristilbudet vil omfatte et estimert antall timer som sertifiseringsorganet antas å bruke til revisjonene. Om tilbudet er akseptabelt for organisasjonen signeres en felles kontrakt.
Revisjonsprogram
Før sertifiseringsorganet igangsetter revisjonsprosesser utarbeides det et forslag til et helhetlig revisjonsprogram med oversikt over alle revisjonsaktiviteter for den første syklusen. Formålet med revisjonsprogrammet er å gi en oversikt over alle revisjonsaktiviteter og metodene som skal brukes, frekvensen av revisjoner, ansvar og krav som skal oppfylles. Revisjonsprogrammet gjennomgås regelmessig gjennom syklusen for å identifisere behov for endringer og muligheter for forbedringer.
Før hver sertifiseringsrevisjon i syklusen utarbeider sertifiseringsorganet en detaljert revisjonsplan som beskriver detaljene for den angitte sertifiseringsrevisjon, hva som skal revideres, risikoforhold, når det skal revideres, og hvem som skal delta fra organisasjonen og hvem som er revisjonsleder.
Organisasjonens forberedelser
Før sertifiseringsprosessen starter må organisasjonen må ha tatt i bruk og implementert standarden i organisasjonen. Det er en fordel om det også er gjennomført en internkontroll eller internrevisjon gjerne med en intern revisor eller ekstern veileder som avklarer om systemet er modent for tredjeparts revisjon. Med tredjeparts revisjon menes systemrevisjoner som utføres av et sertifiseringsorgan som er akkrediterte for å utføre tredjeparts systemsertifisering og som kan utstede sertifikater etter kravene i standarden.
Oppfølgingsrevisjoner gjennomføres en gang i året. Årlig oppfølging er en nødvendig del for at organisasjonen skal opprettholde sertifiseringen. I løpet av årene i syklusen skal alle delene av ledelsessystemet gjennomgås og de ulike temaene fordeles over årene. Alle oppfølgingsrevisjoner etableres med datoer i rapporten under forrige aktivitet.
Årlig revisjon vil omhandle hvordan organisasjonen jobber med kontinuerlig forbedring, tilbakemeldinger fra kunder, internrevisjoner, endringer i ledelsessystemet, endringer i organisasjon og arbeidsprosesser, risikoforhold mv. Dokumentasjonen i ledelsessystemet med prosedyrer skal alltid være i samsvar med gjeldende praksis i organisasjonen og etterlevelse skal dokumenteres til enhver tid. Årlig oppfølgingsrevisjon inkluderer både dokumentgjennomgang og stedlig revisjon hos organisasjonen.
Dersom det ble avdekket avvik ved forrige revisjon vil disse blir gjennomgått for å sikre at de er korrigerte. Om organisasjonen har flere lokasjoner, vil det normalt bli gjennomført revisjon på hovedkontoret, samt på noen utvalgte lokasjoner som har ulike arbeidsprosesser og risikoforhold. Nye avvik kan identifiseres og må rettes opp innen en frist som blir satt av sertifiseringsorganet.
Dersom revisor finner at ledelsessystemet er implementert og oppfyller kravene, sendes revisjonsdokumentene til vedtaksansvarlig i Norsk Sertifisering som gjennomgår revisjonen og fatter vedtak om utstedelse av sertifikat.
Sertifikatet er et bevis på at organisasjonen driver i tråd med kravene i standarden. Når alle krav er oppfylt og eventuelle avvik er rettet opp, vil sertifiseringsorganet utstede et sertifikat som bekrefter at organisasjonen oppfyller standardens krav.
Sertifikatet har en gyldighetstid på 3 år.
Sertifikatet forutsetter årlig oppfølging og kontroll fra sertifiseringsorganet. Årlig oppfølging kan være tematisk gjennomgang av enkelte områder basert på risiko.
Alle sertifiserte organisasjoner får utstedt et eget sertifikat og kan samtidig ta i bruk et eget merke som er utviklet for den angitte sertifiseringsordning.
Bruk av logoer og merker forutsetter at sertifiseringsorganets retningslinjer for bruk av logo og merker følges, se våre nettsider.
Oppfølgingsrevisjoner gjennomføres en gang i året. Årlig oppfølging er en nødvendig del for at organisasjonen skal opprettholde sertifiseringen. I løpet av årene i syklusen skal alle delene av ledelsessystemet gjennomgås og de ulike temaene fordeles over årene. Alle oppfølgingsrevisjoner etableres med datoer i rapporten under forrige aktivitet.
Årlig revisjon vil omhandle hvordan organisasjonen jobber med kontinuerlig forbedring, tilbakemeldinger fra kunder, internrevisjoner, endringer i ledelsessystemet, endringer i organisasjon og arbeidsprosesser, risikoforhold mv. Dokumentasjonen i ledelsessystemet med prosedyrer skal alltid være i samsvar med gjeldende praksis i organisasjonen og etterlevelse skal dokumenteres til enhver tid. Årlig oppfølgingsrevisjon inkluderer både dokumentgjennomgang og stedlig revisjon hos organisasjonen.
Dersom det ble avdekket avvik ved forrige revisjon vil disse blir gjennomgått for å sikre at de er korrigerte. Om organisasjonen har flere lokasjoner, vil det normalt bli gjennomført revisjon på hovedkontoret, samt på noen utvalgte lokasjoner som har ulike arbeidsprosesser og risikoforhold. Nye avvik kan identifiseres og må rettes opp innen en frist som blir satt av sertifiseringsorganet.
Resertifisering er prosessen der organisasjonen etter 3 år fornyer sitt sertifikat. Formålet med resertifiseringen er å bevise at organisasjonen kontinuerlig opprettholder og forbedrer sitt ledelsessystem, at kravene i standarden oppfylles, og at ledelsessystemet har en forbedret og mer effektiv ytelse. En resertifisering skal verifisere at organisasjonens ledelsessystem som helhet har gjennomgått forbedringer i løpet av sertifiseringsperioden eksempelvis forbedret kundekvalitet eller nedgang i miljøpåvirkning.
Resertifisering er en omfattende prosess hvor sertifiseringsorganet gjennomfører en hovedrevisjon og organisasjonen bør prioritere tid både til forberedelse, gjennomføring og oppfølging i etterkant av revisjonen.
Organisasjonen bør gjennomgå sitt ledelsessystem i god tid før kommende revisjonsbesøk og sikre at alle prosesser og prosedyrer er oppdaterte og i samsvar med kravene i standarden slik de praktiseres og etterleves i organisasjonen. Det bør gjennomføres en internrevisjon og resultater av avvikssystemet bør gjennomgås for å identifisere og rette opp eventuelle avvik før den eksterne revisjonen. Videre bør den årlige ledelsens gjennomgåelse være gjennomført og organisasjonen bør identifisere muligheter for forbedringer og iverksette forbedringstiltak.
Resertifisering med ekstern revisjon må gjennomføres i god tid innen utløpsdato, slik at organisasjonen har tilstrekkelig tid for å lukke eventuelle avvik som måtte identifiseres av revisorene under resertifiseringen. Sertifiseringsorganet vil gjennomføre en ekstern revisjon (3. parts revisjon) med gjennomgang av alle områder i standarden. Dette inkluderer organisasjonens dokumentasjon, prosesser og praksis for å sikre samsvar med kravene i standarden. Etter ekstern revisjon mottar organisasjonen en revisjonsrapport med forklaring på alle funn og eventuelle avvik. Alle avvik som oppdages under den eksterne revisjonen må rettes opp av organisasjonen innen en gitt tidsramme. Når alle avvik er korrigert, vil sertifiseringsorganet utstede et nytt sertifikat til organisasjonen.
ISO 27001 Informasjonsikkerhet
Bærekraft
Hvem trenger ISO/IEC 27001?
I dag er datatyveri, nettkriminalitet og ansvar for personvernlekkasjer risikoer som alle organisasjoner må ta hensyn til. Enhver virksomhet må tenke strategisk på sine informasjonssikkerhetsbehov, og hvordan de forholder seg til sine egne mål, prosesser, størrelse og struktur. ISO/IEC 27001-standarden gjør det mulig for organisasjoner å etablere et styringssystem for informasjonssikkerhet og bruke en risikostyringsprosess som er tilpasset deres størrelse og behov, og skalere den etter behov etter hvert som disse faktorene utvikler seg.
Mens informasjonsteknologi (IT) er bransjen med det største antallet ISO/IEC 27001-sertifiserte virksomheter (nesten en femtedel av alle gyldige sertifikater til ISO/IEC 27001 i henhold til ISO Survey 2021), har fordelene med denne standarden overbevist selskaper på tvers av alle økonomiske sektorer (alle typer tjenester og produksjon så vel som primærsektoren; privat, offentlige og ideelle organisasjoner).
Bedrifter som tar i bruk den helhetlige tilnærmingen beskrevet i ISO/IEC 27001 vil sørge for at informasjonssikkerhet er innebygd i organisasjonsprosesser, informasjonssystemer og styringskontroller. De oppnår effektivitet og fremstår ofte som ledere innen sine bransjer.
