ISO 27001 er den mest udbredte internationale standard for informationssikkerhed og beskriver, hvordan man etablerer, implementerer, vedligeholder og løbende forbedrer et Information Security Management System (ISMS). Formålet er at beskytte virksomhedens informationers fortrolighed, integritet og tilgængelighed gennem klare politikker, procedurer og passende tekniske/organisatoriske kontroller—alt sammen forankret i virksomhedens risikoprofil.
Standarden er robust og fleksibel på samme tid: Den sætter en tydelig destination (dokumenteret sikkerhed og compliance), men lader jer vælge ruten (handlingsplanen). ISO 27001 bygger på risikostyring og kontinuerlig forbedring, bl.a. via den treårige recertificeringscyklus og løbende interne audits/ledelsesevalueringer.
Kerneelementer i ISO 27001 (kort): risikovurdering og risikobehandling, politikker og procedurer, implementering af kontroller, overvågning/audit/ledelsesgennemgang samt løbende forbedring.
ISO 27002 er en ledsagerstandard til ISO 27001. Hvor ISO 27001 beskriver kravene til et ISMS, giver ISO 27002 retningslinjer og eksempler til, hvordan man vælger og implementerer konkrete kontroller i praksis (fx adgangsstyring, netværkssikkerhed, kryptering, leverandørstyring, hændelseshåndtering og beredskab). Tænk ISO 27001 som rammen—og ISO 27002 som værktøjskassen.
Vi omsætter kravene til en realistisk plan og dokumentation, der kan bestå både kunders og certificeringsorganers krav. Typisk starter vi med en gap-analyse op mod ISO 27001, etablerer et prioriteret roadmap, opdaterer politikker og procedurer, hjælper med at vælge de relevante kontroller med reference til ISO 27002, og sikrer drift, overvågning og rapportering—så I er klar til audit og certificering.