Hva er ISO/IEC 27001?
ISO/IEC 27001 er en internasjonal og anerkjent standard som beskriver hvordan virksomheter kan etablere, implementere og kontinuerlig forbedre et ledelsessystem for informasjonssikkerhet (ISMS). I korte trekk beskriver standarden hva som kreves for å oppnå et systematisk og strukturert sikkerhetsarbeid med en risikobasert tilnærming. Det følger også med en rekke kontroller som skal hjelpe virksomheter med å implementere relevante sikkerhetstiltak.
Hvorfor velger vi å opprettholde sertifiseringen?
I EY Nordic Security Center tilbyr vi en rekke tjenester innenfor offensiv og defensiv cybersikkerhet. Dette innebærer at vi håndterer sensitiv informasjon om våre kunder og systemer. Det er derfor avgjørende for oss å ha meget gode prosesser innen sikkerhet. Tjenestene som leveres fra EY Nordic Security Center er blant annet:
- Sikkerhetstesting og penetrasjonstesting
- Red-team angrepssimulering
- Sårbarhetsvurderinger og analyse
- Purple teaming og deteksjon
- SOC rådgivning og transformasjon
Vi velger å re-sertifisere oss etter ISO/IEC 27001 for å etterstrebe kontinuerlig forbedring av informasjonssikkerhet og for å skape tillit blant våre kunder og partnere. Sertifiseringsprosessen innebærer at en grundig gjennomgang av interne prosesser og sikkerhetskontroller av en ekstern revisor for å sjekke samsvar mot standarden. Dermed fungerer sertifiseringen som et kvalitetsstempel og gjør det enklere for kunder å velge leverandører med god og effektiv sikkerhetsstyring.
Hva er de største endringene ved 2022 versjonen?
I den nyeste versjonen av ISO/IEC 27001 er flere kontroller slått sammen slik at antallet kontroller er redusert fra 114 til 93. I tillegg er det gjort en forenkling av den overordnede grupperingen av kontrollene til; organisatoriske, menneskelige, tekniske og fysiske.
En viktig endring er at det er introdusert elleve nye kontroller som dekker blant annet trusseletteretning, konfigurasjonsstyring, datalekkasjebeskyttelse og informasjonssikkerhet ved bruk av skytjenester. Kravet som omhandler bruken av skytjenester er spesielt relevant ettersom vi ser at stadig flere og flere virksomheter velger å anskaffe Software as a Service (SaaS) løsninger ovenfor å utvikle og vedlikeholde løsningene ”in-house”. Kjøp av SaaS tjenester kan være et fornuftig valg i mange situasjoner, men det er viktig å være bevisst på hva man tjenesteutsetter og sørge for at sikkerhet hos leverandør og i løsningen oppfyller virksomhetens behov og etterlever lovverk, eksempelvis GDPR.
Vurderer virksomheten din sertifisering etter 2022 versjonen?
Virksomheter som er sertifisert etter 2013 versjonen får sertifikatet trukket tilbake eller ugyldiggjort dersom de ikke har gått over til 2022 versjonen innen 31. Oktober 2025 (3 år etter ny versjon ble publisert). Hvis virksomheten din ønsker å bli sertifisert etter 2022 versjonen har EY god erfaring med sikkerhetsstyring og internkontroll, herunder etablering, forbedring og revisjoner av styringssystemer. Vi tilbyr også sertifiseringstjenester gjennom EY CertifyPoint.