ISO 27001-certificering

ISO 27001-certificering er en formel tredjeparts-bekræftelse af, at din organisations informationssikkerhedsstyringssystem (ISMS) opfylder kravene i ISO/IEC 27001-standarden. Et certifikat signalerer til kunder, partnere og myndigheder, at din organisation tager informationssikkerhed alvorligt og har dokumenterede processer på plads.

Tilbage til ordbog

Hvad er ISO 27001-certificering?

ISO 27001-certificering dokumenterer over for omverdenen, at din organisation har opbygget og driver et informationssikkerhedsstyringssystem (ISMS), der opfylder den internationale standard ISO/IEC 27001. Certificeringen udstedes af et akkrediteret certificeringsorgan (fx Bureau Veritas, DNV, SGS eller TUV) efter en ekstern audit.

I Danmark og Norden ser vi en stigende efterspørgsel efter ISO 27001-certificering, særligt fra B2B-virksomheder, der leverer digitale tjenester, og fra leverandører til offentlige institutioner og store virksomheder.

Certificeringsprocessen

En typisk certificeringsproces forløber i disse faser:

Fase 1 – Gap-analyse: Kortlæg forskellen mellem din nuværende tilstand og ISO 27001's krav.
Fase 2 – Implementering: Opbyg ISMS, gennemfør risikovurdering, implementer kontroller og udarbejd dokumentation.
Fase 3 – Intern audit: Gennemfør en intern audit og ret eventuelle afvigelser.
Fase 4 – Ledelsesgennemgang: Den øverste ledelse gennemgår ISMS'ets resultater.
Fase 5 – Ekstern audit: Certificeringsorganet gennemfører Stage 1 og Stage 2 audit.
Fase 6 – Certificering: Certifikatet udstedes, typisk med gyldighed i tre år.

Stage 1 og Stage 2 audit

Stage 1 (dokumentationsaudit): Revisoren gennemgår din dokumentation og vurderer, om ISMS'et er tilstrækkeligt planlagt og dokumenteret. Fokus er på politikker, risikovurdering og anvendelseserklæring.

Stage 2 (implementeringsaudit): Revisoren besøger organisationen og verificerer, at kontrollerne faktisk er implementeret i praksis. Der afholdes interviews med medarbejdere og ledelse, og beviser for implementering kontrolleres.

Afvigelser og observationer: Revisoren kan finde afvigelser (non-conformities) og observationer. Afvigelser skal rettes, inden certifikatet kan udstedes. Observationer er forbedringspunkter uden krav om umiddelbar handling.

Vedligeholdelse af certifikatet

Et ISO 27001-certifikat er gyldigt i tre år, men kræver løbende vedligeholdelse:

Overvågningsaudit (år 1 og 2): Kortere audit der verificerer, at ISMS'et fortsat drives effektivt.
Recertificeringsaudit (år 3): Fuld audit svarende til den initiale certificering.
Løbende: Intern audit, ledelsesgennemgang og opdatering af risikovurdering skal gennemføres regelmæssigt.

For en komplet gennemgang af certificeringsprocessen, tidslinje og omkostninger, læs vores praktiske guide til ISO 27001 certificering.

Ofte stillede spørgsmål om iso 27001-certificering

Hvad er ISO 27001-certificering?

ISO 27001-certificering er en formel bekræftelse fra et akkrediteret certificeringsorgan af, at din organisations ISMS opfylder kravene i ISO/IEC 27001-standarden. Certifikatet er typisk gyldigt i tre år med årlige overvågningsaudits.

Hvor lang tid tager det at opnå ISO 27001-certificering?

For de fleste SMV'er tager det typisk 6-18 måneder fra start til certifikat. Tidsrammen afhænger af organisationens størrelse, kompleksitet og eksisterende sikkerhedsniveau.

Hvad koster ISO 27001-certificering?

Omkostningerne varierer meget afhængigt af organisationens størrelse og omfang. For en mindre dansk virksomhed kan det samlede forløb typisk koste 150.000-500.000 kr., inklusiv intern arbejdstid, eventuel konsulentbistand og certificeringsorganets honorar.

Hvad er forskellen på Stage 1 og Stage 2 audit?

Stage 1 er en dokumentationsgennemgang, hvor revisoren kontrollerer, at ISMS'et er tilstrækkeligt planlagt og dokumenteret. Stage 2 er en implementeringsaudit, hvor revisoren verificerer, at kontrollerne faktisk er implementeret og fungerer i praksis.

Hvordan vedligeholdes certifikatet efter udstedelse?

Certifikatet kræver årlige overvågningsaudits i år 1 og 2 samt en fuld recertificeringsaudit i år 3. Organisationen skal desuden gennemføre regelmæssige interne audits, ledelsesgennemgange og opdatering af risikovurderinger gennem hele den treårige cyklus.