Sertifisering etter ISO 27001

Digitaliseringsdirektoratets anbefaling

Det er ikke obligatorisk for norske virksomheter å sertifisere seg etter ISO 27001. Digdir anbefaler at virksomheter benytter seg av de virkemidlene som gjør det mulig å arbeide systematisk med styring og kontroll av informasjonssikkerhet. Hvorvidt virksomheten velger å sertifisere seg eller ikke, er avhengig av en konkret vurdering som virksomheten gjør. Det viktigste er at virksomheten jobber etter en internkontroll som gjør at den har tilstrekkelig informasjonssikkerhet.

Digdir har veiledning til offentlige virksomheter for å hjelpe med arbeid med styring og kontroll av informasjonssikkerhet, blant annet:

• Internkontroll i praksis - informasjonssikkerhet. Veiledningen er basert på kravene i ISO 27001, og er Digdirs offisielle anbefalinger for struktur og innhold til styringsaktiviteter
• Helhetlig styring og kontroll for informasjonssikkerhet. Veilederen er utarbeidet i samarbeid med NSM og DFØ.

Noen av fordelene med å være sertifisert etter ISO 27001

En virksomhet som er sertifisert, vil objektivt kunne vise til at den har på plass rutiner og praksis for styring og kontroll av informasjonssikkerhet, samt gode prosesser for å opprettholde dette. Ved brudd på informasjonens konfidensialitet, integritet og/eller tilgjengelighet (informasjonssikkerhetsbrudd) kan rutiner og praksiser begrense hendelsens konsekvenser, og dermed være en faktor som opprettholder befolkningens tillit til offentlige virksomheter.

En del av sertifiseringsprosessen innebærer en ekstern GAP-analyse. Denne har til hensikt å belyse hvor virksomheten er i sitt informasjonssikkerhetsarbeid – og kartlegger samtidig hva som kreves for å komme seg til et nivå som er i tråd med kravene som stilles i ISO 27001. Sertifiseringsprosessens arbeid med forbedring av informasjonssikkerhet kan dermed bidra til å redusere virksomhetens risiko.

Kostnader knyttet til sertifisering

Tall vi har hentet inn fra sertifiseringsvirksomheter i 2022, viser at en ISO-sertifisering innebærer en betydelig kostnad for virksomheter, men dette vil også være avhengig av virksomhetens størrelse og kompleksitet.

Å være sertifisert innebærer i tillegg en løpende kostnad for virksomheten. Denne kostnaden løper i et fire-års intervall. Det første året utgjør den innledende sertifiseringen, som gjennomføres i to faser (se nedenfor). Andre og tredje året gjennomføres det periodiske revisjoner og det fjerde året gjennomføres det en resertifisering.

Prisen for sertifisering, årlige revisjoner og resertifisering, avhenger av virksomhetens kompleksitet og antall ansatte. Basert på tall vi har hentet inn, kan en virksomhet med middels kompleksitet og rundt 100 ansatte forvente en kostnad på over 500 000,- for de fire årene. Konkrete priser kan fås ved å kontakte selskapene som sertifiserer virksomheter.

Hvor kan virksomheten din bli sertifisert etter ISO 27001?

En virksomhet som skal sertifisere andre etter ISO 27001, må være akkreditert. Dersom en virksomhet er akkreditert, betyr dette at et akkrediteringsorgan har gjort en uavhengig vurdering av sertifiseringsvirksomhetens kompetanse, integritet og uavhengighet.

I Norge er det Norsk Akkreditering som akkrediterer sertifiseringsorganer. I tillegg kan virksomheter som er akkreditert av andre akkrediteringsorgan (utenfor Norge), også sertifisere virksomheter i Norge.

De virksomhetene som er akkreditert av Norsk akkreditering til å gjennomføre sertifiseringer etter de ulike ISO-standardene, står på Norsk Akkreditering sine nettsider.

De fleste aktører gjennomfører sertifiseringen som en totrinns-prosess. Den første fasen innebærer en førrevisjon (beskrevet ovenfor som en GAP-analyse) for å kartlegge virksomhetens nåværende ledelsessystem. Dette brukes videre som et grunnlag for å planlegge selve sertifiseringsrevisjonen, som er fase 2. Sertifiseringen er gyldig i fire år etter den er innvilget. I løpet av denne perioden vil det bli foretatt årlige oppfølgingsrevisjoner.