Hvad er ISO 27001?

ISO 27001 er en international standard til etablering af et ledelsessystem for informationssikkerhed. Standarden tager udgangspunkt i en risikobaseret tilgang til styring af informationssikkerhed.

ISO 27001 er valgt som statslig sikkerhedsstandard og har været obligatorisk at følge for statslige institutioner siden januar 2014. Standarden skulle være implementeret af myndighederne primo 2016.

ISO 27000-serien består af en række standarder med indbyrdes relationer. Nogle af disse standarder opstiller krav (normative), mens andre er vejledende i forhold til forskellige aspekter af implementering af et ledelsessystem for informationssikkerhed. 

Normative og vejledende krav

ISO 27001 er en normativ standard – det vil sige, at den stiller krav – i en serie af standarder kaldet 27000-familien af standarder. Den anden normative standard er ISO 27006. I familien indgår der udover de to normative standarder en række standarder med retningslinjer for, hvordan en organisation kan implementere og overholde de normative standarder.

Under 'Standarder i 27000-familien' er en oversigt over de vigtigste standarder i 27000-familien (nogle af disse standarder er stadig under udarbejdelse):

Standarder i 27000-familien

ISO 27000 - Retningslinjer

Indeholder en oversigt over 27000-familien samt de definitioner og forudsætninger, der anvendes i resten af standarderne

ISO 27001 - Normativ

Indeholder krav til, hvorledes et informationssikkerhedsledelsessystem skal implementeres og vedligeholdes

ISO 27002 - Retningslinjer

Indeholder en liste af alment anerkendte kontroller, der kan bruges som hjælp ved udvælgelsen og implementeringen af de kontroller, der er nødvendige for at opnå passende informationssikkerhed i en given organisation

ISO 27003 - Retningslinjer

Indeholder retningslinjer for implementering af ISO/IEC 27001

ISO 27004 - Retningslinjer

Indeholder retningslinjer for, hvordan man kan måle effektiviteten af et informationssikkerhedsledelsessystem

ISO 27005 - Retningslinjer

Indeholder retningslinjer for risikovurdering og -styring

ISO 27006 - Normativ

Indeholder krav til organisationer, der skal certificere andre organisationer efter ISO/IEC 27001

ISO 27007 - Retningslinjer

Indeholder retningslinjer for, hvordan man kan udføre revision af et informationssikkerhedsledelsessystem

Hvorfor ISO 27001?

Der er flere grunde til valget af ISO 27001 som sikkerhedsstandard:

  • Standarden tager udgangspunkt i den enkelte institutions risikoprofil og lægger op til, at der implementeres netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte institution

  • ISO 27001-standarden lægger stor vægt på ledelsens engagement og bevidste stillingtagen til hvilke procedurer, der skal indføres og hvordan.

  • Standarden indeholder en liste af mulige kontroller, der kan indføres for at opnå et passende sikkerhedsniveau, men den lægger vægt på, at listen ikke er udtømmende, så der kan være organisationer, der skal implementere flere eller andre kontroller. Det fordrer en vis grad af modenhed i den organisation, der anvender ISO 27001, men giver også mulighed for løbende tilpasning i takt med ændringer i organisationen, teknologi og trusselsbilledet.

  • Den internationale standard har en fleksibilitet i forhold til, at den kan anvendes sammen med andre rammeværk for informationssikkerhed som f.eks. CoBit eller ISF standard of good practice.

  • ISO 27001 er en international standard, hvilket letter samarbejdet med andre lande og i højere grad sikrer den nødvendige vedligeholdelse af standarden. Vedligeholdelse af ISO-standarder varetages af internationalt sammensatte ekspertgrupper, der med jævne mellemrum vurderer behovet for revision.

Standard sikrer ensartede sikkerhedsprocesser

Brug af en fællesstatslig sikkerhedsstandard går tilbage til 2004, hvor den daværende regering besluttede at indføre en fælles standard for informationssikkerhed i staten, DS484. Det var primært for at sikre et ensartet højt sikkerhedsniveau, så borgerne kunne føle sig trygge ved den digitale forvaltning.

På det tidspunkt var ISO-standarderne ikke så udbyggede, som de er i dag, og der blev derfor udarbejdet en dansk standard, der imødekom behovet for forbedring af informationssikkerheden i Danmark. I dag bliver DS484 ikke længere vedligeholdt og er derfor udfaset til fordel for ISO 27001.