ISO/IEC 27001 er den internationale referencestandard for et ledelsessystem for informationssikkerhed (ISMS). Den efterspørges i stigende grad af kunder, i udbud, af cyberforsikringsselskaber eller for adgang til visse eksportmarkeder. SYAGA ledsager jer fra gap-analysen til forberedelsen af certificeringsrevisionen.
ISO 27001 er ikke en generel lovpligt, men den bliver en uundgåelig forretningsforudsætning
ISO/IEC 27001 forbliver en frivillig proces. Den kræves ikke desto mindre i stigende grad i udbud, af store kunder, af visse cyberforsikringsselskaber, eller som forudsætning for adgang til visse eksportmarkeder.
Størstedelen af SMV'er og mellemstore virksomheder har ikke igangsat nogen struktureret proces for et ledelsessystem for informationssikkerhed. Emnet opfattes som komplekst, teknisk og langvarigt.
Klassiske certificeringsforløb binder jeres teams i flere måneder og udgør en betydelig investering, ofte uden for rækkevidde for en SMV.
At binde IT-chefen eller sikkerhedsansvarlig i månedsvis for at opbygge et ISMS er ikke bæredygtigt i en SMV, hvor alle allerede bærer flere hatte.
Et struktureret forløb i 3 faser, baseret på den samme metode som SYAGA allerede har afprøvet med PSSI-Express
Afgrænsningsinterview med ledelsen og den IT-ansvarlige, efterfulgt af en systematisk vurdering af hver af de 93 sikkerhedskontroller i Annex A (udgave 2022), fordelt på de 4 temaer: organisatorisk, personalerelateret, fysisk og teknologisk. Aflevering af en faktuel gap-rapport.
Udarbejdelse eller opdatering af sikkerhedspolitikken (ISMS), Statement of Applicability (SoA) der begrunder anvendelsen eller udelukkelsen af hver af de 93 kontroller, og en prioriteret remedieringsplan til at lukke de i fase 1 identificerede gaps.
Opfølgning på implementeringen af remedieringsplanen, dokumentgennemgang, og forberedelse af jeres team til revisionen udført af et uafhængigt akkrediteret certificeringsorgan. SYAGA forbereder jer til revisionen; selve certificeringen udstedes af dette tredjepartsorgan.
De strukturerende dokumenter i ISO 27001-certificeringsdokumentationen
Faktuel vurdering af jeres compliance-niveau i forhold til standarden.
Det centrale normative dokument i ISO 27001-certificeringsdokumentationen.
Det ledelsesdokument, der kræves af klausul 4 til 10 i standarden.
Køreplanen til at lukke de identificerede gaps.
Dokumenter der kan anvendes direkte af jeres teams.
Alle dokumenter i formater, I selv kan videreudvikle.
ISO 27001-ISMS'et overlapper naturligt flere standarder
Den centrale standard: klausul 4 til 10 (ledelseskrav) og Annex A (93 sikkerhedskontroller fordelt på 4 temaer).
De cyberrisikostyringsforanstaltninger, som NIS2-direktivet kræver, overlapper i høj grad med kontrollerne i ISO 27001 Annex A. Et ISO 27001-ISMS gør NIS2-compliance lettere for de omfattede enheder.
Foranstaltningerne i ANSSI's IT-hygiejnevejledning overlapper i vid udstrækning med kontrollerne i ISO 27001 Annex A. Sammenhæng dokumenteret i remedieringsplanen.
De passende tekniske og organisatoriske foranstaltninger, som artikel 32 i GDPR kræver, bygger på de samme bedste praksisser som ISO 27001 Annex A (adgangskontrol, kryptering, hændelsesstyring).
Hvert ISO 27001-forløb dimensioneres efter jeres omfang og nuværende modenhed. Altid et skræddersyet tilbud.
Indledende øjebliksbillede af jeres gaps
Fra gap-analysen til forberedelsen af revisionen
Efter certificering eller løbende
Kontakt os for et skræddersyet tilbud afhængigt af jeres omfang og nuværende modenhed.
Hvad ISO/IEC 27001 reelt siger, forklaret enkelt. Hvert punkt henviser til sin officielle kilde (ISO, AFNOR, COFRAC, ANSSI), opdateret 17.07.2026.
ISO/IEC 27001 er en anerkendt metode til at identificere truslerne mod jeres data, håndtere risiciene og indføre de rette beskyttelsesforanstaltninger, så jeres oplysninger forbliver fortrolige, tilgængelige og pålidelige. Det er ikke et program, det er en organisation der skal etableres i virksomheden.
Kilde: AFNOR CertificationI modsætning til andre processer (som den sikkerhedsgodkendelse der pålægges visse af statens systemer) er ISO 27001 frivillig: det er en certificerende standard, ikke en generel regulatorisk pligt. I vælger den for at berolige kunder, partnere og forsikringsselskaber.
Kilde: ANSSI (fransk myndighed, metodeark)Aldrig virksomheden selv, ej heller en konsulent: kun et uafhængigt akkrediteret certificeringsorgan kan udstede det (COFRAC er den eneste franske akkrediteringsinstans, oprettet i 1994). Det opnåede certifikat er gyldigt i 3 år.
Kilde: COFRAC (fransk myndighed)Forudgående vurdering (valgfri), forberedelse, dokumentgennemgang, revision på stedet for at kontrollere hvad der reelt er på plads, udstedelse af certifikatet (3 år), derefter et årligt kontrolbesøg og en fuldstændig fornyelsesrevision efter 3 år. Intet er fastlåst for evigt.
Kilde: AFNOR CertificationIfølge en AFNOR-undersøgelse blandt certificerede virksomheder: 89% konstaterede færre sikkerhedshændelser, 83% har mere solide interne sikkerhedsprocesser, og 88% beholdt kunder der ellers kunne være rejst uden certificeringen.
Kilde: AFNOR-undersøgelse 2019Det er den mest anvendte standard for informationssikkerhed i verden, ifølge ISO selv. Og den akkreditering der kontrollerer certificeringsorganerne (som COFRAC i Frankrig) er internationalt anerkendt gennem aftaler mellem lande, hvilket letter adgangen til markeder i Europa og andre steder.
Kilde: ISO (udvalg JTC1/SC27)