Andrea Giesler | 3. juni 2019

ISO 27001-standarden tilbyder krav og en struktur, der vil give vejledning i implementering af et informationssikkerhedsstyringssystem (ISMS). Som styringssystem er ISO 27001 baseret på kontinuerlig forbedring – i denne artikel lærer du mere om, hvordan dette afspejles i ISO 27001 krav og struktur.

To hoveddele af standarden

Standarden er opdelt i to dele. Den første hoveddel består af 11 klausuler (0 til 10). Den anden del, kaldet bilag A, giver en retningslinje for 114 kontrolmål og kontroller. Klausuler 0 til 3 (Introduktion, anvendelsesområde, normative referencer, termer og definitioner) indfører introduktionen af ISO 27001-standarden. Følgende klausuler 4 til 10, der giver ISO 27001-krav, der er obligatoriske, hvis virksomheden ønsker at overholde standarden, undersøges mere detaljeret yderligere i denne artikel.

Standardens bilag A understøtter klausuler og deres krav med en liste over kontroller, der ikke er obligatoriske, men som er valgt som en del af risikostyringsprocessen. Læs mere i artiklen Den grundlæggende logik i ISO 27001: Hvordan fungerer informationssikkerhed?

Klausul 4: Kontekst for organisationen

En forudsætning for at implementere et informationssikkerhedsstyringssystem med succes er at forstå organisationens kontekst. Eksterne og interne spørgsmål såvel som interesserede parter skal identificeres og overvejes. Krav kan omfatte lovgivningsmæssige spørgsmål, men de kan også gå langt ud over.

Med dette i tankerne er organisationen nødt til at definere omfanget af ISMS. Hvor omfattende vil ISO 27001 blive anvendt på virksomheden?

Læs mere om organisationens kontekst i artiklerne Hvordan defineres organisationens kontekst i henhold til ISO 27001, Hvordan identificeres interesserede parter i henhold til ISO 27001 og ISO 22301, og hvordan man definerer ISMS-omfanget.

Klausul 5: Ledelse

Kravene i ISO 27001 til en passende ledelse er mangfoldige. Topledelsens engagement er obligatorisk for et ledelsessystem. Mål skal etableres i overensstemmelse med en organisations strategiske mål. Tilvejebringelse af nødvendige ressourcer til ISMS såvel som at støtte personer til at bidrage til ISMS er andre eksempler på forpligtelserne til at opfylde.

Desuden er den øverste ledelse nødt til at etablere en politik i henhold til informationssikkerheden. Denne politik skal dokumenteres såvel som kommunikeres inden for organisationen og til interesserede parter.

Roller og ansvar skal også tildeles for at opfylde kravene i ISO 27001-standarden og rapportere om udførelsen af ISMS.

Lær mere om topledelse i ISO 27001 i disse artikler: Topledelsesperspektiv for implementering af informationssikkerhed, roller og ansvar for topledelse i ISO 27001 og ISO 22301, og hvad skal du skrive i din informationssikkerhedspolitik i henhold til ISO 27001?

Klausul 6: Planlægning

Planlægning i et ISMS-miljø skal altid tage højde for risici og muligheder. En risikovurdering af informationssikkerhed giver et solidt grundlag at stole på. Derfor bør informationssikkerhedsmålene baseres på risikovurderingen. Disse mål skal tilpasses virksomhedens overordnede mål. Desuden skal målene fremmes inden for virksomheden. De giver de sikkerhedsmål, der skal arbejdes for for alle inden for og tilpasset virksomheden. Fra risikovurderingen og sikkerhedsmålene udledes en risikobehandlingsplan baseret på kontroller som anført i bilag A.

For bedre forståelse af risici og muligheder, læs artiklen ISO 27001 risikovurdering & behandling – 6 grundlæggende trin. Lær mere om kontrolmål i artiklen ISO 27001 kontrolmål – Hvorfor er de vigtige? For flere detaljer om en virksomheds retning, læs artiklen Tilpasning af informationssikkerhed med den strategiske retning for en virksomhed i henhold til ISO 27001.

Klausul 7: Support

Ressourcer, medarbejderes kompetence, bevidsthed og kommunikation er nøglespørgsmål til støtte for sagen. Et andet krav er at dokumentere oplysninger i henhold til ISO 27001. Oplysninger skal dokumenteres, oprettes og opdateres samt kontrolleres. Et passende sæt dokumentation skal vedligeholdes for at understøtte ISMS succes.

For mere om træning, opmærksomhed og kommunikation kan du læse artiklerne Sådan udføres træning & bevidsthed om ISO 27001 og ISO 22301 og hvordan man opretter en kommunikationsplan i henhold til til ISO 27001. Lær mere om dokumenthåndtering i artiklen Dokumenthåndtering i ISO 27001 & BS 25999-2.

Klausul 8: Drift

Processer er obligatoriske for at implementere informationssikkerhed. Disse processer skal planlægges, implementeres og kontrolleres. Risikovurdering og -behandling – som vi har lært tidligere – skal være i topledelsens sind – skal omsættes.

Lær mere om risikovurdering og behandling i artiklerne ISO 27001 risikovurdering: Sådan matche aktiver, trusler og sårbarheder og hvordan man vurderer konsekvenser og sandsynlighed i ISO 27001 risikoanalyse og i dette gratis diagram af ISO 27001: 2013 Risikovurderings- og behandlingsproces.

Klausul 9: Evaluering af ydeevne

Kravene i ISO 27001-standarden forventer overvågning, måling, analyse og evaluering af informationssikkerhedsstyringssystemet. Afdelingen skal ikke kun kontrollere sit arbejde – derudover skal der gennemføres interne revisioner. Med faste intervaller skal den øverste ledelse gennemgå organisationens ISMS.

Lær mere om ydeevne, overvågning og måling i artiklerne Nøglepræstationsindikatorer for en ISO 27001 ISMS og hvordan man udfører overvågning og måling i ISO 27001.

Klausul 10: Forbedring

Forbedring følger op på evalueringen. Afvigelser skal løses ved at tage skridt og fjerne årsagerne, når det er relevant. Desuden bør der gennemføres en kontinuerlig forbedringsproces, selvom PDCA (Plan-Do-Check-Act) -cyklussen ikke længere er obligatorisk (læs mere om dette i artiklen Er PDCA-cyklussen blevet fjernet fra de nye ISO-standarder? Stadig, PDCA-cyklussen anbefales ofte, da den tilbyder en solid struktur og opfylder kravene i ISO 27001.

For mere om forbedring af ISO 27001, læs artiklen Opnå kontinuerlig forbedring ved brug af modenhedsmodeller.

Bilag A (normativ) Referencekontrolmål og -kontrol

Bilag A er en nyttig liste over referencekontrolmål og -kontroller Startende med A.5 Informationssikkerhedspolitikker gennem A.18 Overholdelse, listen indeholder kontroller, hvor ISO 27001-kravene kan opfyldes, og strukturen af et ISMS kan udledes. Kontrol, identificeret gennem en risikovurdering som beskrevet ovenfor, skal overvejes og implementeres.

For mere om bilag A, læs artiklerne En hurtig guide til ISO 27001-kontroller fra bilag A og hvordan man strukturerer dokumenterne til ISO 27001-kontrolelementer i bilag A.

Krav til et ISMS

Implementeringen og selve standarden kan virke udfordrende eller kompliceret ved første øjekast , fordi nogle krav måske ikke lyder logisk for dig. Men med mere dybdegående læring om det, falder tingene på plads, og man begynder at forstå den omfattende, som implementeringen af ISO 27001 bringer i sikkerhed. Snart efter at være blevet kompatibel, vil du helt sikkert indse, at standarden giver dig en struktureret retningslinje, og du vil være tilfreds med din beslutning om implementeringen.

For at lære mere om ISO 27001-krav, download denne gratis klausul-by -klausul forklaring af ISO 27001.

Her kan du lære hvor detaljeret skal ISO 27001 dokumenterne være?

For beslutningstagere i opstartsverdenen , anbefales det stærkt at læse, hvorfor de skal investere i ISO 27001, og hvordan implementeringen kan give et boost for virksomheden.

Om forfatteren:

Andrea Giesler er en intern revisor , baseret i Köln, Tyskland, med speciale i områderne ISO 27001, ISO 9001 og EU GDPR. Hun er en Certified Information Systems Auditor (CISA) og er certificeret i Risk and Information Systems Control (CRISC) af ISACA.