ISO 27001-ordliste

ISO/IEC 27001 er den anerkjente standarden for å styre informasjonssikkerhet systematisk. Den beskriver hvordan en virksomhet skal etablere, drifte, vedlikeholde og forbedre et ledelsessystem (ISMS) basert på risiko. Gjeldende utgave er fra 2022.

Standarden er frivillig – den er ikke en lov. Men sertifisering brukes ofte for å dokumentere god sikkerhet overfor kunder og myndigheter, og den støtter etterlevelse av blant annet GDPR, NIS2 og DORA.

Et ISMS (Information Security Management System) er kjernen i ISO/IEC 27001. Det er ikke et IT-verktøy, men et styringssystem: en strukturert måte å identifisere risiko på og forvalte tiltak, roller, dokumentasjon og forbedring over tid.

Et velfungerende ISMS gjør sikkerhet til en kontinuerlig, ledelsesforankret prosess fremfor en engangsjobb.

Mens ISO/IEC 27001 stiller kravene til selve ledelsessystemet, gir ISO/IEC 27002 utfyllende veiledning om hvordan hver enkelt kontroll i Tillegg A kan utformes. De to brukes sammen.

2022-utgaven omorganiserte kontrollene til fire temaer og innførte nye kontroller for blant annet trusseletterretning og skytjenester.

Rundt ISO/IEC 27001 finnes en hel familie: 27000 (begreper), 27002 (kontroller), 27005 (risikostyring), 27017/27018 (sky og personvern i sky) med flere. Sammen utgjør de et komplett verktøysett.

Du sertifiseres mot 27001, men trekker på de øvrige for veiledning.

Internasjonale ISO-standarder gjøres til Norsk Standard gjennom Standard Norge. Den norske versjonen heter NS-EN ISO/IEC 27001:2022 og har samme innhold som den internasjonale standarden, tilgjengelig på norsk.

Det er denne du kjøper og refererer til i en norsk sammenheng, men sertifiseringen er internasjonalt anerkjent.

Informasjonssikkerhet handler om å beskytte informasjon uansett form – digitalt, på papir eller i hodene til folk. Målet uttrykkes gjennom tre egenskaper (CIA-triaden), og oppnås gjennom en kombinasjon av tekniske, organisatoriske og menneskelige tiltak.

ISO/IEC 27001 gir en systematisk måte å oppnå og opprettholde dette på.

Konfidensialitet betyr at informasjon bare er tilgjengelig for de som skal ha den; integritet at den er korrekt og uendret; tilgjengelighet at den er der når man trenger den. Et sikkerhetstiltak handler alltid om å beskytte én eller flere av disse.

Triaden er den felles målestokken når man vurderer risiko og velger kontroller.

Virksomheten må definere hvilke deler av organisasjonen, hvilke lokasjoner, systemer og informasjon ISMS-et omfatter. Virkeområdet styrer hva som skal risikovurderes og kontrolleres, og hva en sertifisering gjelder for.

Et for snevert virkeområde kan gjøre sertifiseringen lite verdt; et for bredt kan gjøre arbeidet uoverkommelig.

ISO/IEC 27001 krever at hver identifisert risiko har en eier som kan ta beslutninger om hvordan den skal håndteres, og som godkjenner restrisikoen. Det plasserer ansvaret tydelig.

Risikoeierskap kobler risikoarbeidet til reell beslutningsmyndighet i organisasjonen.

Risikovurderingen er motoren i ISO/IEC 27001. Virksomheten kartlegger hva som kan gå galt, hvor sannsynlig det er og hvor alvorlige konsekvensene blir, og prioriterer deretter. Vurderingen skal være konsistent og gjentakbar.

Resultatet styrer hvilke kontroller som faktisk trengs – sikkerhet skal være risikobasert, ikke synsebasert.

Etter vurderingen velges håndtering: redusere risikoen med kontroller, akseptere den, unngå aktiviteten eller overføre risikoen (f.eks. forsikring). Valgte kontroller knyttes til Tillegg A og dokumenteres i erklæringen om anvendelighet.

Restrisikoen skal godkjennes av risikoeier.

Statement of Applicability (SoA) er et av de viktigste dokumentene i et ISMS. Det lister alle kontrollene i Tillegg A, om de er tatt i bruk eller ikke, begrunnelsen, og statusen for hver. Det knytter risikohåndteringen til konkrete kontroller.

Revisor bruker SoA-en som inngang til å vurdere om virksomheten faktisk gjør det den sier.

For å vurdere risiko konsistent må virksomheten på forhånd bestemme hva som er akseptabelt og hva som krever tiltak. Akseptkriteriene gjør risikobeslutninger etterprøvbare og forankret i ledelsens risikovilje.

Uten klare kriterier blir risikohåndtering vilkårlig.

Tillegg A i ISO/IEC 27001:2022 inneholder 93 kontroller organisert i fire temaer: organisatoriske, personell, fysiske og teknologiske. Kontrollene er ikke en obligatorisk sjekkliste – man velger de som er relevante ut fra risikovurderingen.

Detaljert veiledning til hver kontroll finnes i ISO/IEC 27002.

Den største temagruppen i Tillegg A dekker det organisatoriske: sikkerhetspolicyer, roller og ansvar, leverandørstyring, hendelseshåndtering, klassifisering av informasjon og kontinuitet. Dette er «styringssiden» av sikkerheten.

Mange av disse kontrollene handler om prosess og ansvar snarere enn teknologi.

Mennesker er ofte den største sårbarheten. Personellkontrollene dekker bakgrunnssjekk, taushetsplikt, sikkerhetsopplæring og bevisstgjøring, og håndtering av tilganger ved rollebytte og fratredelse.

Godt sikkerhetsarbeid forutsetter at folk forstår sin rolle i det.

Fysisk sikkerhet er en del av informasjonssikkerhet. Temaet dekker adgangskontroll til bygg og rom, beskyttelse av utstyr, sikker avhending av medier og kontroll med fysiske trusler.

Selv det beste digitale forsvaret hjelper lite hvis noen kan gå rett inn i serverrommet.

Den teknologiske temagruppen dekker det de fleste forbinder med IT-sikkerhet: autentisering og tilgangsstyring, kryptering, sikkerhetskopiering, logging og overvåking, beskyttelse mot skadevare og sårbarhetshåndtering.

Kontrollene skal velges ut fra risiko og samspille med de organisatoriske.

ISO/IEC 27001 krever synlig lederengasjement: ledelsen skal fastsette sikkerhetspolicy, sørge for ressurser, integrere ISMS-et i virksomhetens prosesser og følge opp at det virker. Sikkerhet kan ikke delegeres bort som «noe IT styrer med».

Uten reell ledelsesforankring kollapser et ISMS over tid.

Sikkerhetspolicyen er ledelsens overordnede erklæring: hva virksomheten vil oppnå med informasjonssikkerheten og hvilke prinsipper som gjelder. Den er forankret i toppledelsen og danner paraplyen over mer detaljerte retningslinjer.

Policyen skal være kjent i organisasjonen og gjennomgås jevnlig.

Et ISMS må dokumenteres: policyer, prosedyrer, risikovurdering, SoA, registre og bevis for at aktiviteter er gjennomført. Dokumentasjonen skal være styrt – riktig versjon, tilgjengelig for de som trenger den, beskyttet mot endring.

Ved revisjon er det dokumentasjonen, sammen med praksis, som viser at systemet faktisk virker.

ISO/IEC 27001 krever at virksomheten med jevne mellomrom reviderer sitt eget ISMS for å sjekke at det er i samsvar med både standarden og egne krav, og at det faktisk etterleves. Funn følges opp som avvik.

Internrevisjon er en forutsetning for ledelsens gjennomgang og for en vellykket sertifiseringsrevisjon.

Med jevne mellomrom skal ledelsen gjennomgå ISMS-et: status på risiko, resultater fra revisjoner og målinger, hendelser, og behov for endringer. Gjennomgangen sikrer at systemet utvikler seg i takt med virksomheten og trusselbildet.

Den er et konkret uttrykk for ledelsens forpliktelse og leder til beslutninger om forbedring.

Når noe ikke er i samsvar med standarden eller egne krav, er det et avvik. ISO/IEC 27001 krever at avvik håndteres systematisk: rette feilen, finne rotårsaken og iverksette tiltak som hindrer gjentakelse.

Avvikshåndtering er selve mekanismen som gjør at systemet lærer og blir bedre.

Et ISMS er aldri «ferdig». Gjennom sykluser av planlegging, gjennomføring, kontroll og korrigering (PDCA) skal virksomheten stadig heve sikkerhetsnivået i takt med endringer i risiko, teknologi og organisasjon.

Det er denne forbedringssløyfen som skiller et levende styringssystem fra en perm i hylla.

Sertifisering er en frivillig, men verdifull bekreftelse: et uavhengig sertifiseringsorgan reviderer ISMS-et og utsteder et sertifikat hvis kravene er oppfylt. Sertifikatet er gyldig i en periode (typisk tre år) med årlige oppfølgingsrevisjoner.

For mange virksomheter er sertifisering et konkurransefortrinn og et krav fra kunder.

Et sertifikat er bare så troverdig som den som utsteder det. Sertifiseringsorganet må være akkreditert (i Norge av Norsk akkreditering) etter egne krav, slik at sertifiseringen er upartisk og anerkjent internasjonalt.

Akkrediteringen er det som gjør at et norsk sertifikat anerkjennes i utlandet.

Sertifisering skjer i trinn: trinn 1 (dokumentasjonsgjennomgang og modenhet) og trinn 2 (vurdering av at ISMS-et faktisk etterleves). Deretter følger årlige oppfølgingsrevisjoner og en full resertifisering etter tre år.

Avvik funnet under revisjonen må lukkes før sertifikat utstedes eller beholdes.

I tillegg til at virksomheter sertifiseres, finnes personsertifiseringer. En Lead Implementer er trent i å etablere og drifte et ISMS, mens en Lead Auditor er trent i å revidere det. Disse tilbys av organer som PECB.

Slik kompetanse hos en rådgiver gir trygghet for at arbeidet holder standardens nivå.