Man and a woman with a laptop in a server room

ISO 27001-certifiering

Din förfrågan


Informationssäkerhet med ett system

Ämnet "informationssäkerhet" blir alltmer angeläget för företag i samband med den digitala omvandlingen. Utan tillräckliga säkerhetsåtgärder finns det risk för dataförlust och datastöld av hackare, för driftsstörningar på grund av attacker via webben eller missbruk av data. Ett alternativ för ett strukturerat tillvägagångssätt är ett ledningssystem för informationssäkerhet (ISMS) enligt ISO 27001.

Påvisbar data- och informationssäkerhet

Säkerhet som en del av företagskulturen

Effektivt genomförande av en riskhanteringsprocess.

Kontinuerlig förbättring av säkerhetsnivån

Business10.png

Vad är ISO 27001?

ISO/IEC 27001 är den ledande internationella standarden för genomförande av ett holistiskt ledningssystem för informationssäkerhet. Den fokuserar på identifiering, bedömning och hantering av risker för informationshanteringsprocesser. Säkerheten för konfidentiell information betonas som en viktig strategisk faktor.

Information omger oss överallt och är en del av varje process. Ibland kan den vara oviktig, men alltför ofta är den kritisk och konfidentiell. För att kunna göra denna viktiga distinktion för din organisation är det nödvändigt att klassificera informationen. Detta beror på att skyddsåtgärderna i ett ledningssystem för informationssäkerhet (ISMS) enligt ISO/IEC 27001 bygger på denna klassificering.

Ett ISMS skapar en ram för att skydda verksamhetsdata och dess konfidentialitet. Samtidigt säkerställer den globalt erkända standarden tillgängligheten hos de IT-system som är involverade i företagets processer. I detta sammanhang sänder ISO 27001-certifieringen en stark signal till marknaden: nämligen en oberoende extern utvärdering och bekräftelse av effektiviteten hos ert ISMS.

Med EN ISO/IEC 27001:2017-06 har en version som samordnas av Europeiska standardiseringskommittén (CEN) publicerats. Den kombinerar de två rättelserna (corrigenda) Cor 1:2014 och Cor 2:2015. Ändringarna i samband med korrigeringen omfattar endast en förbättrad beskrivning av de tillhörande kraven, men inga nya, ytterligare krav. Certifikat enligt ISO/IEC 27001:2013-versionen behåller därmed sin giltighet.

Show more
Show less
SEO19.png

För vem är en certifiering enligt ISO 27001 lämplig?

ISMS-standarden ISO 27001 gäller över hela världen. Den ger företag av alla storlekar och branscher en ram för att planera, genomföra och övervaka sin informationssäkerhet. Kraven är tillämpliga och gäller för privata och offentliga företag samt ideella organisationer.

I Tyskland måste till exempel företag som tillhör en sektor för kritisk infrastruktur (KRITIS) och som överskrider ett tröskelvärde bevisa hur de säkerställer sin informationssäkerhet. KRITIS-sektorerna omfattar energi, vatten, hälsa, finans och försäkring, livsmedel, transport och trafik, informationsteknik och telekommunikation. Motsvarande bevis på genomförandet kan tillhandahållas genom säkerhetsrevisioner, tester eller certifieringar. För detta ändamål kan antingen erkända standarder som ISO 27001 eller alternativt branschspecifika säkerhetsstandarder som erkänns av den tyska federala byrån för informationssäkerhet (BSI) användas som grund för revisionen.

Show more
Show less
Business11.png

Vad gör ISO 27001-standarden användbar för mitt företag?

Införandet av ett ISMS enligt ISO/IEC 27001 är ett strategiskt beslut för ditt företag. Uppfyllandet av standardens avsiktliga allmänna krav måste återspegla företagets specifika situation. Genomförandet i företaget beror på behoven och målen, säkerhetskraven och de organisatoriska processerna samt företagets storlek och struktur.

Särskilt värdefullt för praktiken är genomförandet av åtgärderna i bilaga A till standarden. Förutom den ledningsystemorienterade kravdelen (kapitel 4-10) innehåller ISO-standarden en omfattande lista med 35 åtgärdsmål (kontroller) med 114 konkreta åtgärder för en mängd olika säkerhetsaspekter i 14 kapitel i bilaga A. Åtgärderna måste genomföras inom ramen för ledningssystemet. Dessa åtgärder måste genomföras som en del av ledningssystemet, i den mån de är relevanta för ditt företag.

En konsekvent anpassning av företagets processer till ISO 27001 har visat sig leda till ett antal fördelar:

  • Kontinuerlig förbättring av säkerhetsnivån.
  • Minskning av befintliga risker.
  • Överensstämmelse med kraven på efterlevnad.
  • Större medvetenhet bland de anställda.
  • Ökad kundtillfredsställelse

Interna revisioner och ledningsgranskningar med deltagande av den högsta ledningen är de interna hävstängerna för att uppnå detta.

Andra positiva aspekter är att berörda parter, t.ex. tillsynsmyndigheter, försäkringsbolag, banker och partnerföretag, bygger upp ett större förtroende för ditt företag. Detta beror på att ett certifierat ledningssystem signalerar att din organisation hanterar risker på ett strukturerat sätt och ansluter sig till ständiga förbättringar (CIP), vilket gör den mer motståndskraftig mot oönskad påverkan.

Den internationella standarden ISO/IEC 27001 kan också genomföras, drivas och certifieras oberoende av andra ledningssystem som ISO 9001 (kvalitetsledning) eller ISO 14001 (miljöledning).

Show more
Show less
Business36.png

Vem får utföra certifiering enligt ISO 27001?

För att certifiera ett ledningssystem för informationssäkerhet måste respektive certifieringsorgan vara ackrediterat enligt ISO/IEC 17021 och ISO/IEC 27006. ISO/IEC 17021 reglerar ämnen som rör bedömning av överensstämmelse, särskilt krav på inspektionsorgan som granskar och certifierar ledningssystem.

ISO/IEC 27006 definierar dessutom strikta krav som certifieringsorganen måste uppfylla för att kunna certifiera ett ISMS enligt ISO 27001.

Dessa krav omfattar bland annat följande:

  • Bevis på specificerade revisionsinsatser.
  • Krav på kvalificering av revisorer.

DQS är ackrediterat av det nationella tyska ackrediteringsorganet DakkS (Deutsche Akkreditierungsstelle GmbH) och har därför rätt att utföra revisioner och certifieringar enligt ISO 27001.

Oavsett i vilken bransch ditt företag är verksamt kan du lita på den särskilda expertisen hos DQS-revisorerna. De har många års erfarenhet av bedömning av ledningssystem för informationssäkerhet inom olika branscher.

Show more
Show less
Business28.png

Hur fungerar ISO 27001-certifiering?

När alla krav i ISO 27001 har genomförts kan du få ditt ledningssystem certifierat. Du kommer att gå igenom en certifieringsprocess i flera steg hos DQS. Om ett certifierat ledningssystem redan är etablerat i företaget kan processen förkortas.

I det första steget diskuterar du ditt företag och målen för ISO 27001-certifieringen med oss. På grundval av detta får du ett detaljerat erbjudande som är skräddarsytt för ditt företags individuella behov.

Ett projektplaneringsmöte kan vara användbart för större projekt, till exempel för att bättre samordna tidsplaner och genomförandet av revisioner med flera platser eller avdelningar. Förrevisionen ger dig en möjlighet att i förväg identifiera styrkorna och förbättringspotentialen i ditt ledningssystem. Båda tjänsterna är frivilliga.

Certifieringsrevisionen börjar med systemanalys och utvärdering av ditt ISMS (revisionssteg 1). Här fastställer din revisor om ditt ledningssystem är tillräckligt utvecklat och redo för certifiering. I nästa steg (systemrevision steg 2) bedömer din revisor effektiviteten hos alla förvaltningsprocesser på plats med tillämpning av ISO 27001-standarden. Resultatet av revisionen presenteras vid ett slutmöte. Vid behov kommer man överens om åtgärdsplaner.

Efter certifieringsrevisionen utvärderas resultaten av DQS:s oberoende certifieringsnämnd. Om alla standardkrav är uppfyllda får du ISO 27001-certifikatet.

Efter en framgångsrik certifiering revideras nyckelkomponenterna i ditt ISMS på plats minst en gång om året för att säkerställa kontinuerlig förbättring.

ISO 27001-certifikatet är giltigt i högst tre år. Omcertifiering utförs i god tid innan certifikatet löper ut för att säkerställa fortsatt överensstämmelse med de tillämpliga standardkraven. Om kraven uppfylls utfärdas ett nytt certifikat.

Banking13.png

Vad kostar ISO 27001-certifiering?

De fyra bedömningskriterierna

Även om ISO 27001-revisionen ska utföras enligt strukturerade specifikationer beror kostnaden på olika faktorer, t.ex. hur komplex din organisation är. Därför kan det inte finnas något erbjudande som passar alla för ett visst företag.

Kostnaderna för certifiering enligt ISO 27001 fastställs bland annat utifrån följande fyra kriterier:

1. Komplexiteten hos ert ledningssystem för informationssäkerhet.

De kritiska värdena (t.ex. patent, personuppgifter, anläggningar, processer) i ditt företag beaktas. Kostnaden för certifiering baseras främst på informationssäkerhetskraven och i vilken utsträckning konfidentialitet, integritet och tillgänglighet (VIV) av information påverkas.

2. Ditt företags kärnverksamhet inom ramen för ISMS.

I det här skedet spelar framför allt de risker som är förknippade med dina affärsprocesser en viktig roll när det gäller att fastställa den nödvändiga granskningsinsatsen. Man tar hänsyn till lagstadgade krav samt komplexa, individuella kundkrav.

3. De viktigaste tekniker och komponenter som används i ditt ISMS

Under revisionen granskas såväl tekniken som de enskilda komponenterna i ditt ISMS. Till dessa hör IT-plattformar, servrar, databaser, applikationer samt nätverkssegment. Grundregeln här är följande: Ju högre andel standardsystem och ju lägre komplexitet din IT har, desto lägre är insatsen. Kostnaderna för en ISO 27001-certifiering beror också på detta.

4 Andelen intern utveckling i ditt ISMS

Om det inte förekommer någon intern utveckling och ni huvudsakligen använder standardiserade programvaruplattformar är ansträngningen för en bedömning lägre. Om ditt ISMS kännetecknas av intensiv användning av egenutvecklad programvara och om denna programvara används för centrala affärsområden, blir ansträngningen för en certifiering högre.

För att vi ska kunna ge dig en översikt över kostnaderna för en ISMS-certifiering behöver vi i förväg exakt information om din affärsmodell och ditt användningsområde. På så sätt kan vi ge dig ett skräddarsytt erbjudande.

Show more
Show less
Business2.png

Vad du kan förvänta dig av oss

  • Mer än 35 års erfarenhet av certifiering av ledningssystem och processer.
  • Branscherfarna revisorer och experter med stor teknisk kunskap.
  • Värdeskapande insikter om ditt företag
  • Certifikat med internationell acceptans
  • Expertis och ackrediteringar för alla relevanta standarder
  • Personligt, smidigt stöd från våra specialister - regionalt, nationellt och internationellt.
  • Individuella erbjudanden med flexibla avtalsvillkor och inga dolda kostnader.
Contact-South-Asia-woman-shutterstock_1766529371.jpg

Begär en offert

Din lokala kontaktperson

Vi ger dig gärna en individuell offert för ISO 27001-certifiering av ditt ISMS.

Din förfrågan

Några frågor?

Vi finns här för dig.
Kontakta oss