Ledelsessystemer for Informasjonssikkerhet IEC/ISO 27001

Mange norske virksomheter er sertifisert i henhold til én eller flere standarder, men få innenfor informasjonssikkerhet. Sertifiseringen øker virksomhetens effektivitet, og bidrar til kontinuerlige forbedringer. Nytten ved sertifisering, kombinert med konsekvensene av dataangrep, gjør det underlig at så få norske virksomheter har sertifisert noe så viktig som sikkerheten for virksomhetens informasjon.

Sertifisering av ledelsessystemet for informasjonssikkerhet gir en bekreftelse fra et uavhengig, kompetent og akkreditert organ om at virksomheten overholder kravene til en internasjonalt anerkjent standard for informasjonssikkerhet. Dette inkluderer etablering, implementering, drift, overvåking, gjennomgang, opprettholdelse og forbedring av organisasjonens ledelsessystem for informasjonssikkerhet.

ISO/IEC 27001:2017 inkluderer elementer for å sikre følgende:

  • Sikkerhetskrav og mål er riktig formulert
  • Sikkerhetsrisikoer blir styrt kostnadseffektivt
  • Overholdelse med lover og forskrifter
  • Et hensiktsmessig rammeverk for implementering og styring av kontroller for å sikre oppnåelse av organisasjonens sikkerhetsmål
  • Overholdelse organisasjonens retningslinjer, forskrifter og standarder
  • Informasjonssikkerhet for kunder

Hvordan utføres sertifiseringsprosessen?

Systemrevisjoner i sertifiseringsprosessen er en måte å måle om ledelsessystemet for informasjonssikkerhet møter kravene i ISO 27001:2017. Hovedhensikten med systemrevisjonene er å identifisere mulige forbedringer.

Sertifiseringsprosessen består av to faser:

  • Fase 1 består vanligvis av et besøk hos virksomheten for å gjennomgå status av organisasjon, systemdokumentasjon, infrastruktur, osv. Organisasjonens anvendelseserklæring (SOA) vil bli spesielt kontrollert.
  • Fase 2 er en sertifiseringsrevisjon som evaluerer systemdokumentasjonen i forhold til kravene i ISO 27001:2017-standarden. Denne gjennomgangen vil gi tilbakemelding til organisasjonen om eventuelle avvik som må korrigeres før sertifikat innvilges.

Sertifiseringen vil være gyldig i 3 år etter at den er innvilget. I løpet av denne perioden vil det bli utført årlige overvåkingsrevisjoner.

Kontakt oss for et uforpliktende tilbud for din bedrift: 

Bente Marie Stein, Salgs- og markedssjef systemsertifisering: bente.marie.stein@nemko.com