ISO/IEC 27001 er den internasjonale referansestandarden for et styringssystem for informasjonssikkerhet (ISMS). Den kreves i stadig større grad av oppdragsgivere, i anbudskonkurranser, av cyberforsikringsselskaper eller for tilgang til enkelte eksportmarkeder. SYAGA følger deg fra gap-analyse til forberedelse av sertifiseringsrevisjonen.
ISO 27001 er ikke en generell lovpålagt plikt, men den blir et uunngåelig kommersielt forhåndskrav
ISO/IEC 27001 er fortsatt en frivillig prosess. Den kreves likevel i stadig større grad i anbudskonkurranser, av store oppdragsgivere, av enkelte cyberforsikringsselskaper, eller som forhåndskrav for tilgang til enkelte eksportmarkeder.
De fleste små og mellomstore bedrifter har ikke satt i gang noen strukturert prosess for et styringssystem for informasjonssikkerhet. Temaet oppfattes som komplisert, teknisk og tidkrevende.
Klassiske sertifiseringsoppdrag binder opp teamene deres i flere måneder og representerer en betydelig investering, ofte utenfor rekkevidde for en SMB.
Å binde opp IT-sjefen eller sikkerhetsansvarlig i flere måneder for å bygge et ISMS er ikke gjennomførbart i en SMB der alle allerede har flere roller.
En strukturert prosess i 3 faser, basert på samme metodikk som allerede er utprøvd av SYAGA på PSSI-Express
Oppstartsmøte med ledelsen og IT-ansvarlig, deretter systematisk evaluering av hvert av de 93 sikkerhetstiltakene i vedlegg A (2022-utgaven), fordelt på de 4 temaene organisatorisk, personellrelatert, fysisk og teknologisk. Presentasjon av en faktabasert avviksrapport.
Utarbeidelse eller oppdatering av sikkerhetspolicyen (ISMS), samsvarserklæringen (SoA) som begrunner anvendelse eller unntak av hvert av de 93 tiltakene, og en prioritert utbedringsplan for å tette avvikene identifisert i fase 1.
Oppfølging av gjennomføringen av utbedringsplanen, dokumentgjennomgang, og forberedelse av teamet deres til revisjonen utført av et uavhengig, akkreditert sertifiseringsorgan. SYAGA forbereder dere til revisjonen; selve sertifiseringen utstedes av dette tredjepartsorganet.
De strukturerende dokumentene i ISO 27001-sertifiseringsdokumentasjonen
Faktabasert evaluering av samsvarsnivået deres mot standarden.
Det sentrale normative dokumentet i ISO 27001-sertifiseringsdokumentasjonen.
Styringsdokumentet som kreves etter klausulene 4 til 10 i standarden.
Veikartet for å tette de identifiserte avvikene.
Dokumenter som teamene deres kan ta i bruk direkte.
Alle dokumenter i formater dere kan videreutvikle.
ISO 27001-ISMS-et overlapper naturlig med flere rammeverk
Sentralt rammeverk: klausulene 4 til 10 (styringskrav) og vedlegg A (93 sikkerhetstiltak fordelt på 4 temaer).
Tiltakene for cyberrisikostyring som kreves av NIS2-direktivet overlapper i stor grad med tiltakene i vedlegg A i ISO 27001. Et ISO 27001-ISMS gjør det lettere å oppnå NIS2-samsvar for berørte enheter.
Tiltakene i IT-hygieneveiledningen fra ANSSI (fransk myndighet) overlapper i betydelig grad med tiltakene i vedlegg A i ISO 27001. Sammenheng dokumentert i utbedringsplanen.
De egnede tekniske og organisatoriske tiltakene som kreves etter artikkel 32 i GDPR, bygger på de samme beste praksisene som vedlegg A i ISO 27001 (tilgangskontroll, kryptering, hendelseshåndtering).
Hvert ISO 27001-oppdrag dimensjoneres etter omfanget og dagens modenhet deres. Skreddersydd tilbud som standard.
Et øyeblikksbilde av avvikene deres
Fra gap-analyse til forberedelse av revisjonen
Etter sertifisering eller løpende
Kontakt oss for et skreddersydd tilbud basert på omfanget og dagens modenhet deres.
Det ISO/IEC 27001 faktisk sier, forklart enkelt. Hvert punkt viser til sin offisielle kilde (ISO, AFNOR, COFRAC, ANSSI - franske organisasjoner/myndigheter), oppdatert 17.07.2026.
ISO/IEC 27001 er en anerkjent metode for å identifisere truslene mot dataene deres, håndtere risikoene og innføre de riktige beskyttelsestiltakene, slik at opplysningene deres forblir konfidensielle, tilgjengelige og pålitelige. Det er ikke en programvare, det er en organisasjonsform som skal etableres i virksomheten.
Kilde: AFNOR Certification (fransk organisasjon)I motsetning til andre prosesser (som sikkerhetsgodkjenningen pålagt enkelte statlige systemer i Frankrike), er ISO 27001 valgfri: det er en sertifiserende standard, ikke en generell lovpålagt plikt. Dere velger den for å berolige kunder, partnere og forsikringsselskaper.
Kilde: ANSSI (fransk myndighet, metodeark)Aldri virksomheten selv, og heller ikke en konsulent: kun et uavhengig, akkreditert sertifiseringsorgan kan utstede det (COFRAC er den eneste franske akkrediteringsinstansen, opprettet i 1994). Sertifikatet man mottar er gyldig i 3 år.
Kilde: COFRAC (fransk myndighet)Innledende evaluering (valgfritt), forberedelse, dokumentgjennomgang, revisjon på stedet for å kontrollere hva som faktisk er på plass, utstedelse av sertifikatet (3 år), deretter et årlig tilsynsbesøk og en fullstendig fornyelsesrevisjon etter 3 år. Ingenting er fastlåst for alltid.
Kilde: AFNOR Certification (fransk organisasjon)Ifølge en AFNOR-undersøkelse blant sertifiserte virksomheter: 89 % opplevde færre sikkerhetshendelser, 83 % har mer solide interne sikkerhetsprosesser, og 88 % beholdt kunder som kunne ha forsvunnet uten sertifiseringen.
Kilde: AFNOR-undersøkelse 2019 (fransk organisasjon)Det er den mest brukte informasjonssikkerhetsstandarden i verden ifølge ISO selv. Og akkrediteringen som kontrollerer sertifiseringsorganene (som COFRAC i Frankrike) er internasjonalt anerkjent gjennom avtaler mellom land, noe som gjør det lettere å få tilgang til markeder i Europa og andre steder.
Kilde: ISO (komité JTC1/SC27)