Implementering af ISO27001

Implementering af ISO27001 kræver ledelsesopbakning, systematisk tilgang til opgaven og kommunikation.

Digitaliseringsstyrelsen har som led i cyber- og informationssikkerhedsstrategiens initiativ 1 om professionalisering og styrket it-tilsyn udarbejdet en guide til implementering af ISO27001. Guiden opstiller en forenklet model, der koncentrerer sig om ti basispunkter, som er særligt centrale for at opfylde målet om implementering. Modellen er således ikke en fyldestgørende liste over samtlige punkter i standarden. 

Målet med guiden er dels at lette arbejdet med at implementere ISO27001, dels at skabe en forståelse for, hvad der er nødvendigt at gøre for at skabe professionel ledelsesmæssig styring af informationssikkerhed efter standardens principper.

Retningsanvisende

Guiden anviser en retning, men er ikke et implementeringskoncept, der skal gennemløbes slavisk. Alle organisationer er forskellige både i størrelse, kompleksitet, organisering og opgavernes karakter. Ledelsesmæssig styring af informationssikkerhed afhænger alene af den enkelte organisation, dens kultur og informationer og skal planlægges, tilrettelægges og udvikles herefter.

Guiden er henvendt til topledelser og sikkerhedskoordinatorer i statslige organisationer, der står over for en førstegangsimplementering. Guiden kan også anvendes af private virksomheder mv.

Risikobaseret tilgang

Generelt er præmissen bag ISO27001, at informationssikkerhed skal styres på baggrund af en risikobaseret tilgang. Udgangspunktet er, at det kun er den organisation med ansvaret for informationer, processer og systemer, der kan træffe beslutning om risici og prioritere ressourcerne derefter. Dette gælder uanset om informationer, processer og systemer driftes internt eller er outsourcet. 

Risikovurderingen er således det helt centrale element i ISO27001. Gennem risikovurderingen får organisationen overblik over sine systemer, og hvor vigtige de er for forretningen. Ud fra det kan ledelsen prioritere ressourcerne.