Hvad er ISO 27001?

ISO 27001 er en international standard for informationssikkerhed. Den fastlægger kravene til et ledelsessystem for informationssikkerhed (ISMS), som beskytter organisationens data gennem risikostyring, dokumenterede processer og løbende forbedring. Standarden anvendes globalt som reference for systematisk og certificerbar styring af informationssikkerhed.

ISO 27001 er udgivet af International Organization for Standardization (ISO) og bruges af både private og offentlige organisationer til at strukturere deres arbejde med beskyttelse af information.

Hvad er formålet med ISO 27001?

Formålet med ISO 27001 er at sikre fortrolighed, integritet og tilgængelighed af information. Standarden skaber en dokumenteret ramme for, hvordan organisationen identificerer risici, prioriterer sikkerhedsforanstaltninger og kontrollerer, at de fungerer efter hensigten.

ISO 27001 handler ikke kun om IT-systemer. Den omfatter også medarbejdere, processer, leverandører og fysisk sikkerhed. Informationssikkerhed betragtes som et ledelsesansvar og forankres på strategisk niveau.

Hvordan fungerer ISO 27001?

ISO 27001 bygger på etablering af et Information Security Management System (ISMS). Et ISMS er et struktureret styringssystem, der definerer politikker, procedurer, roller og tekniske kontroller.

Arbejdet omfatter blandt andet:

• Identifikation af informationsaktiver
• Risikovurdering og risikobehandling
• Udvælgelse og implementering af sikkerhedskontroller
• Dokumentation af processer
• Intern audit og ledelsens evaluering
• Løbende forbedring

Standarden indeholder et kontrolkatalog (Annex A), som beskriver konkrete sikkerhedsforanstaltninger inden for blandt andet adgangsstyring, kryptografi, hændelseshåndtering, leverandørstyring og fysisk sikring.

Organisationen vælger kontroller ud fra sin risikovurdering. ISO 27001 er derfor en risikobaseret standard, ikke en fast tjekliste.

ISO 27001 i moderne IT-miljøer

I cloud-baserede miljøer som Microsoft 365 og Azure understøtter ISO 27001 en struktureret tilgang til adgangsstyring, dataklassifikation, logning og hændelseshåndtering.

Standarden skaber overblik over ansvar mellem organisation og leverandør og bidrager til at dokumentere sikkerhedsniveau over for kunder og samarbejdspartnere. Den anvendes også som ramme i organisationer, der arbejder med ERP-systemer som Business Central eller anvender AI-løsninger, hvor databeskyttelse og governance er centrale krav.

Certificering efter ISO 27001

En organisation kan blive certificeret efter ISO 27001 gennem et akkrediteret certificeringsorgan. Certificeringen dokumenterer, at organisationens ISMS lever op til standardens krav.

Certificeringen gælder i tre år og kræver årlige opfølgningsaudits. Den forudsætter dokumentation, intern audit og ledelsesmæssig forankring.

Hvorfor er ISO 27001 vigtig?

ISO 27001 skaber struktur og gennemsigtighed i arbejdet med informationssikkerhed. Den reducerer afhængighed af enkeltpersoner og sikrer, at sikkerhedsarbejdet er systematisk, målbart og forankret i ledelsen.

I takt med øget digitalisering, cloud-adoption og integration af AI vokser kompleksiteten i databeskyttelse. ISO 27001 giver en dokumenteret metode til at håndtere denne kompleksitet gennem risikostyring og løbende forbedring.