top of page
Søk

ISO 27001 i praksis: fra dokumentasjon til faktisk informasjonssikkerhet

  • for 5 døgn siden
  • 2 min lesing

ISO 27001 kan for mange virke uoverkommelig ved første øyekast. Selve standarden

er ikke spesielt omfattende, men den har et vedlegg (Vedlegg A) som beskriver 93

kontroller som må inkluderes eller ekskluderes basert på virksomhetens aktivitet.

Hvis man heller ikke er sertifisert fra før (for eksempel ISO 9001/14001/45001), er det

lett å bli overveldet.


Risikobasert styring er kjernen

Kjernen i ISO 27001 er en risikobasert tilnærming. Når risiko brukes til å prioritere,

øker både modenheten og den reelle sikkerheten. Ved å knytte risikovurderingen

sammen med Statement of Applicability (SoA) og kontrollene i Vedlegg A, får du en

tydelig bro mellom risiko og tiltak.


Både risikovurderingen og SoA er «levende» dokumenter som forutsetter kontinuerlig

oppfølging ved endringer – enten det er hendelser, nye leverandører eller endringer i

driften. Når dette følges opp i praksis, får virksomheten styringsdokumenter som

aktivt kan brukes til å utvikle og forbedre informasjonssikkerheten.


Involvering og forankring

Involvering er et nøkkelord for en vellykket sertifisering. ISO 27001 handler ikke bare

om IT-sikkerhet, og implementeringen er ikke et rent IT-prosjekt. Hele virksomheten

blir berørt – ledelse, HR, innkjøp og drift. Når involveringen etableres tidlig i

prosessen, ser vi ofte at virksomheter får større utbytte av sertifiseringen når de går

over i driftsfasen.


Forankring i ledelsen er likevel det viktigste bidraget for å lykkes. Ledelsen må ha et

tydelig eierskap til informasjonssikkerhet og vise i praksis at arbeidet prioriteres, slik

at etableringen og videreutviklingen av informasjonssikkerhetssystemet får

nødvendig gjennomslag.


Når hele organisasjonen involveres, blir dokumentasjonen som etableres også mer

presis og bedre tilpasset faktiske rutiner i virksomheten. De som deltar får et sterkere

eierskap til innholdet, og bevisstheten rundt informasjonssikkerhet øker.

En ISO-sertifisering er ikke en konkurranse om å etablere flest mulig dokumenter.

Det handler om å etablere riktige styringsdokumenter – tilpasset behovet og risikoen i

den enkelte virksomhet.


Oppsummert: Sertifiseringen i seg selv gir ofte begrenset verdi. Det er hvordan

styringssystemet brukes i hverdagen som avgjør effekten.


Vil du vite om ISO 27001 fungerer i praksis? Ta kontakt for en uforpliktende prat.



bottom of page