ISO 27001 i praksis: veien til sertifisering
Stadig flere kunder krever ISO 27001 av leverandørene sine. Vi forklarer hva sertifiseringen faktisk innebærer — og hvordan du kommer dit uten å drukne i dokumentasjon.
ISO 27001 er den internasjonale standarden for styringssystem for informasjonssikkerhet (ISMS). Det handler ikke om å kjøpe et bestemt verktøy, men om å kunne dokumentere at du systematisk styrer risiko knyttet til informasjon — at sikkerhet er en prosess, ikke en tilfeldighet.
Drivkraften er i økende grad kommersiell. Store kunder, offentlige anbud og internasjonale partnere krever ofte ISO 27001 for i det hele tatt å vurdere deg som leverandør. Sertifiseringen er da ikke et pliktløp, men en døråpner til kontrakter du ellers er utestengt fra.
Veien dit følger en fast struktur: (1) kartlegg verdier og risiko, (2) etabler policyer og kontroller (tilgangsstyring, hendelseshåndtering, leverandørstyring), (3) implementer og dokumenter, (4) gjennomfør internrevisjon og ledelsens gjennomgang, (5) sertifiseringsrevisjon av et akkreditert organ. Etterpå følger årlige oppfølgingsrevisjoner — sertifiseringen er en levende ordning, ikke et engangsstempel.
Den vanligste fellen er å gjøre det til et papirprosjekt. En perm med policyer ingen følger, gir verken sikkerhet eller bestått revisjon. Poenget er at kontrollene faktisk brukes i hverdagen — at de er proporsjonale med risikoen din, ikke kopiert fra en mal.
ECIT hjelper virksomheter gjennom hele løpet — fra gap-analyse og risikokartlegging til implementering av kontroller og forberedelse til sertifiseringsrevisjon. Vi bygger et styringssystem som passer størrelsen din, slik at sikkerheten blir reell og revisjonen blir en formalitet.