ISO 27001-certificering

ISO 27001-certificering er en formel tredjeparts-bekræftelse af, at din organisations informationssikkerhedsstyringssystem (ISMS) opfylder kravene i ISO/IEC 27001-standarden. Et certifikat signalerer til kunder, partnere og myndigheder, at din organisation tager informationssikkerhed alvorligt og har dokumenterede processer på plads.

Tilbage til ordbog

Hvad er ISO 27001-certificering?

ISO 27001-certificering dokumenterer over for omverdenen, at din organisation har opbygget og driver et informationssikkerhedsstyringssystem (ISMS), der opfylder den internationale standard ISO/IEC 27001. Certificeringen udstedes af et akkrediteret certificeringsorgan (fx Bureau Veritas, DNV, SGS eller TUV) efter en ekstern audit.

I Danmark og Norden ser vi en stigende efterspørgsel efter ISO 27001-certificering, særligt fra B2B-virksomheder, der leverer digitale tjenester, og fra leverandører til offentlige institutioner og store virksomheder.

Certificeringsprocessen

En typisk certificeringsproces forløber i disse faser:

Fase 1 – Gap-analyse: Kortlæg forskellen mellem din nuværende tilstand og ISO 27001's krav.
Fase 2 – Implementering: Opbyg ISMS, gennemfør risikovurdering, implementer kontroller og udarbejd dokumentation.
Fase 3 – Intern audit: Gennemfør en intern audit og ret eventuelle afvigelser.
Fase 4 – Ledelsesgennemgang: Den øverste ledelse gennemgår ISMS'ets resultater.
Fase 5 – Ekstern audit: Certificeringsorganet gennemfører Stage 1 og Stage 2 audit.
Fase 6 – Certificering: Certifikatet udstedes, typisk med gyldighed i tre år.

Stage 1 og Stage 2 audit

Stage 1 (dokumentationsaudit): Revisoren gennemgår din dokumentation og vurderer, om ISMS'et er tilstrækkeligt planlagt og dokumenteret. Fokus er på politikker, risikovurdering og anvendelseserklæring.

Stage 2 (implementeringsaudit): Revisoren besøger organisationen og verificerer, at kontrollerne faktisk er implementeret i praksis. Der afholdes interviews med medarbejdere og ledelse, og beviser for implementering kontrolleres.

Afvigelser og observationer: Revisoren kan finde afvigelser (non-conformities) og observationer. Afvigelser skal rettes, inden certifikatet kan udstedes. Observationer er forbedringspunkter uden krav om umiddelbar handling.

Vedligeholdelse af certifikatet

Et ISO 27001-certifikat er gyldigt i tre år, men kræver løbende vedligeholdelse:

Overvågningsaudit (år 1 og 2): Kortere audit der verificerer, at ISMS'et fortsat drives effektivt.
Recertificeringsaudit (år 3): Fuld audit svarende til den initiale certificering.
Løbende: Intern audit, ledelsesgennemgang og opdatering af risikovurdering skal gennemføres regelmæssigt.

Ofte stillede spørgsmål om iso 27001-certificering

Hvad er ISO 27001-certificering?

ISO 27001-certificering er en formel bekræftelse fra et akkrediteret certificeringsorgan af, at din organisations ISMS opfylder kravene i ISO/IEC 27001-standarden. Certifikatet er typisk gyldigt i tre år med årlige overvågningsaudits.

Hvor lang tid tager det at opnå ISO 27001-certificering?

For de fleste SMV'er tager det typisk 6-18 måneder fra start til certifikat. Tidsrammen afhænger af organisationens størrelse, kompleksitet og eksisterende sikkerhedsniveau.

Hvad koster ISO 27001-certificering?

Omkostningerne varierer meget afhængigt af organisationens størrelse og omfang. For en mindre dansk virksomhed kan det samlede forløb typisk koste 150.000-500.000 kr., inklusiv intern arbejdstid, eventuel konsulentbistand og certificeringsorganets honorar.

Hvad er forskellen på Stage 1 og Stage 2 audit?

Stage 1 er en dokumentationsgennemgang, hvor revisoren kontrollerer, at ISMS'et er tilstrækkeligt planlagt og dokumenteret. Stage 2 er en implementeringsaudit, hvor revisoren verificerer, at kontrollerne faktisk er implementeret og fungerer i praksis.

Hvordan vedligeholdes certifikatet efter udstedelse?

Certifikatet kræver årlige overvågningsaudits i år 1 og 2 samt en fuld recertificeringsaudit i år 3. Organisationen skal desuden gennemføre regelmæssige interne audits, ledelsesgennemgange og opdatering af risikovurderinger gennem hele den treårige cyklus.