ISO 27001 på 1-2-3

ISO 27001 - En guide til informasjonssikkerhet og implementering

Beskyttelse av Sensitiv informasjon

Informasjonssikkerhet er et konsept som kan spores tilbake til menneskets første hemmeligheter, før fysiske dokumenter beskyttet med lås og nøkkel. I moderne tid refererer det til prosesser og metoder designet og implementert for å beskytte trykt, elektronisk eller annen form for sensitiv informasjon mot uautorisert tilgang. Cybersikkerhet fokuserer på digital informasjon, mens nettverkssikkerhet handler om å beskytte den grunnleggende nettverksinfrastrukturen.

Økt risiko for økonomisk tap

Advarsler fra PST, NSM og E-tjenesten peker på økt risiko fra statlige aktører mot norsk industri i 2024. Cyberangrep kan stoppe produksjon, stjele viktig informasjon, ødelegge omdømme, og i verste fall føre til konkurs. Cyberkriminalitet er forventet å koste verden over 100.000 milliarder kroner i 2024, med små bedrifter som ofte hardest rammet.

Norske eksempler viser store økonomiske tap fra cyberangrep:

  • Tomra (200 millioner kroner, 2023),
  • Knut Malmberg AS (10 millioner kroner, 2023),
  • Nortura (36 millioner kroner, 2021),
  • Amedia (ca. 30 millioner kroner, 2021),
  • Hydro (800 millioner kroner, 2019).

Risikohåndtering er også et krav fra kunder og myndigheter (eks. GDPR og NIS2).

ISO 27001 - Internasjonal standard for informasjonssikkerhet

ISO 27001 er en internasjonal standard som stiller krav til etablering, implementering, vedlikehold og forbedring av et system for å beskytte informasjon. Systemet sikrer at konfidensialitet, integritet og tilgjengelighet av informasjon opprettholdes gjennom en risikostyringsprosess. Implementeringen påvirkes av organisasjonens behov, mål, sikkerhetskrav, prosesser, størrelse og struktur, og bør integreres i organisasjonens prosesser og styringsstruktur. 

ISO 27001 følger en lik struktur som andre ledelsessystemstandarder, slik som ISO 9001, noe som forenkler implementeringen for de som allerede har et ledelsessystem:

93 Sikkerhetskontroller basert på risiko

Annex A i ISO 27001 (mer detaljert beskrevet i ISO 27002) inneholder en liste med 93 sikkerhetskontroller fordelt på fire kategorier. Organisasjonen velger de kontrollene som er relevante basert på deres risiko.

NIS2: Nytt EU krav

NIS2-direktivet fra EU erstatter det eldre NIS1-direktivet og er en del av en større tiltakspakke for å forbedre nettverks- og informasjonssystemenes motstandsdyktighet i offentlige og private sektorer i EU/EØS. Det skal redusere fragmenteringen av det indre markedet og øker samarbeidet mellom medlemsstatene innen informasjonssikkerhet. Direktivet dekker flere sektorer kritiske for økonomien og samfunnet, og innfører strengere krav til risikovurdering og rapportering. Innen 24. oktober 2024 skal medlemsstatene ha gjennomført direktivet i nasjonal rett. Å etterleve ISO 27001 vil dekke 99% av kravene i NIS2-direktivet

Implementering av ISO 27001 på 1-2-3

Vi tilbyr støtte gjennom hele prosessen, fra innledende rådgivning til internrevisjon, for å sikre en vellykket implementering av ISO 27001. Antenor-OTG har bistått 300+ bedrifter både med digitale løsninger og kompetanse. Kontakt oss gjerne

Ta kontakt med oss
Atle Gjertsen
Chief Operating Officer