STAÐALL ISO/IEC 27001:2022 - ISMS

Undirbúðu ISO 27001-vottun
án þess að tapa 6 mánuðum

ISO/IEC 27001 er alþjóðlegi viðmiðunarstaðallinn fyrir stjórnkerfi upplýsingaöryggis (ISMS). Sífellt oftar krafist af viðskiptavinum, í útboðum, af netöryggistryggingafélögum eða til að fá aðgang að ákveðnum útflutningsmörkuðum. SYAGA fylgir þér frá Gap Assessment fram að undirbúningi vottunarúttektar.

93
Stýringar viðauka A (útg. 2022)
4
Öryggisþemu
7
Stjórnunargreinar (4 til 10)
1
Yfirlýsing um gildissvið afhent

Bakgrunnurinn

ISO 27001 er ekki almenn lagaskylda, en er að verða ómissandi viðskiptaforsenda

📋

Valfrjáls vottun, en sífellt oftar krafist

ISO/IEC 27001 er áfram valfrjálst ferli. Engu að síður er hennar sífellt oftar krafist í útboðum, af stórum viðskiptavinum, af ákveðnum netöryggistryggingafélögum, eða sem forsenda fyrir aðgangi að ákveðnum útflutningsmörkuðum.

🔒

Fá lítil og meðalstór fyrirtæki hafa formfest ISMS sitt

Meirihluti lítilla og meðalstórra fyrirtækja hefur ekki hafið neitt skipulagt ferli við stjórnkerfi upplýsingaöryggis. Málið er upplifað sem flókið, tæknilegt og tímafrekt.

💰

Löng og kostnaðarsöm ferli

Hefðbundin vottunarverkefni binda starfsfólk þitt í marga mánuði og krefjast umtalsverðrar fjárfestingar, oft utan seilingar lítilla og meðalstórra fyrirtækja.

Upplýsingatækniteymi þitt er nú þegar undir álagi

Að binda upplýsingatæknistjóra eða öryggisstjóra í marga mánuði til að byggja upp ISMS er ekki raunhæft í fyrirtæki þar sem hver og einn gegnir nú þegar mörgum hlutverkum.

Aðferðin ISO27001-Express

Skipulagt ferli í 3 áföngum, byggt á sömu aðferðafræði og SYAGA hefur þegar sannað með PSSI-Express

1
Áfangi 1 - Gap Assessment

Mat á 93 stýringum viðauka A

Afmörkunarviðtal við stjórnendur og ábyrgðarmann upplýsingakerfa, síðan kerfisbundið mat á hverri af 93 öryggisstýringum viðauka A (útgáfa 2022), sem skiptast í 4 þemu: skipulagslegt, mannlegt, eðlislægt og tæknilegt. Skil á staðreyndabundinni frávikaskýrslu.

2
Áfangi 2 - Skjalfesting ISMS

Öryggisstefna, SoA og úrbótaáætlun

Ritun eða uppfærsla öryggisstefnu (ISMS), yfirlýsingar um gildissvið (SoA) sem rökstyður beitingu eða undanþágu hverrar af 93 stýringum, og forgangsraðaðrar úrbótaáætlunar til að loka þeim frávikum sem greindust í áfanga 1.

3
Áfangi 3 - Aðstoð fram að vottun

Undirbúningur fyrir úttekt vottunarstofu

Eftirfylgni með innleiðingu úrbótaáætlunarinnar, yfirferð skjala, og undirbúningur starfsfólks þíns fyrir úttekt óháðrar viðurkenndrar vottunarstofu. SYAGA undirbýr þig fyrir úttektina; sjálf vottunin er gefin út af þessum þriðja aðila.

Það sem þú færð

Grunnskjöl vottunarmöppu ISO 27001

📊

Gap Assessment-skýrsla

Staðreyndabundið mat á samræmisstigi þínu gagnvart staðlinum.

  • Mat á 93 stýringum viðauka A
  • Staða hverrar stýringar: samræmi / að hluta / ekki í samræmi
  • Samantekt eftir þemum (skipulagslegt, mannlegt, eðlislægt, tæknilegt)
  • Staðreyndabundnar niðurstöður, án gildisdóma
🔐

Yfirlýsing um gildissvið (SoA)

Miðlægt staðlaskjal vottunarmöppu ISO 27001.

  • Staða beitt/undanskilið fyrir hverja af 93 stýringum
  • Rökstuðningur fyrir hverja undanþágu
  • Tilvísun í skjöl ISMS
  • Tilbúið til að leggja fyrir vottunarstofu
📝

Öryggisstefna (ISMS)

Stjórnskjalið sem greinar 4 til 10 staðalsins krefjast.

  • Umfang og samhengi ISMS
  • Hlutverk og ábyrgð í öryggismálum
  • Áhættustjórnunarferli
  • Stöðug umbótalota (PDCA)
🎯

Forgangsraðuð úrbótaáætlun

Vegvísir til að loka greindum frávikum.

  • Aðgerðir raðaðar eftir forgangi
  • Skipulagslegar og tæknilegar ráðstafanir
  • Framvinduvöktun
  • Stigvaxandi undirbúningur fyrir úttekt
📄

Verklagsreglur

Skjöl sem starfsfólk þitt getur nýtt strax.

  • Stjórnun öryggisatvika
  • Aðgangs- og auðkennastjórnun
  • Breytingastjórnun
  • Tölvunotkunarreglur
💻

Breytanlegar skrár

Öll skjöl á sniðum sem þú getur þróað áfram.

  • Sjálfstætt HTML (opnast í hvaða vafra sem er)
  • Hágæða PDF (A4 prentun)
  • Breytanlegt DOCX (Microsoft Word)
  • Uppfært við hverja árlega yfirferð

Sameiginlegur skjalagrunnur

ISMS samkvæmt ISO 27001 skarast eðlilega við marga staðla

ISO

ISO/IEC 27001:2022

Miðlægur staðall: greinar 4 til 10 (stjórnunarkröfur) og viðauki A (93 öryggisstýringar sem skiptast í 4 þemu).

N2

Brú við NIS2

Netöryggisáhættustjórnunarráðstafanir sem NIS2-tilskipunin krefst skarast að miklu leyti við stýringar viðauka A ISO 27001. ISMS samkvæmt ISO 27001 auðveldar NIS2-samræmi fyrir hlutaðeigandi einingar.

AN

ANSSI-leiðbeiningar - Tölvuöryggishreinlæti (frönsk yfirvöld)

Ráðstafanir í tölvuöryggishreinlætisleiðbeiningum ANSSI skarast verulega við stýringar viðauka A ISO 27001. Samsvörun skjalfest í úrbótaáætluninni.

RG

GDPR (32. gr.)

Viðeigandi tæknilegar og skipulagslegar ráðstafanir sem 32. grein GDPR krefst byggja á sömu góðu starfsvenjum og viðauki A ISO 27001 (aðgangsstýringu, dulkóðun, atvikastjórnun).

Tilboð sniðin að þínum aðstæðum

Hvert ISO 27001-verkefni er sniðið að umfangi þínu og núverandi þroskastigi. Ávallt sérsniðið tilboð.

Gap Assessment

Upphafleg mynd af frávikum þínum

Samkvæmt tilboði
eftir umfangi og fjölda starfsmanna
  • Mat á 93 stýringum viðauka A
  • Staðreyndabundin niðurstöðuskýrsla
  • Samantekt eftir öryggisþemum
  • Kynning fyrir stjórnendum
  • HTML + PDF + DOCX snið
Fá tilboð

Árlegt viðhald

Eftir vottun eða áframhaldandi

Samkvæmt tilboði
eftir umfangi og fjölda starfsmanna
  • Árleg yfirferð ISMS
  • Uppfærsla SoA
  • Uppfærsla úrbótaáætlunar
  • Undirbúningur fyrir eftirlitsúttektir
Fá tilboð

Algengar spurningar

Hvað er staðallinn ISO/IEC 27001?
ISO/IEC 27001 er alþjóðlegi viðmiðunarstaðallinn fyrir innleiðingu stjórnkerfis upplýsingaöryggis (ISMS). Í útgáfu 2022 er hann byggður upp í greinum 4 til 10 (stjórnunarkröfur: samhengi, forystu, áætlanagerð, stuðning, framkvæmd, mat, umbætur) og viðauka A með 93 öryggisstýringum sem skiptast í 4 þemu: skipulagslegt, mannlegt, eðlislægt og tæknilegt.
Er ISO 27001 skylda fyrir fyrirtækið mitt?
Nei, ISO 27001 er valfrjáls vottun, ólíkt regluverki eins og NIS2. Hins vegar er hennar sífellt oftar krafist í reynd: í útboðum, af kröfum stórra viðskiptavina, sem skilyrði netöryggistrygginga, eða til aðgangs að ákveðnum útflutningsmörkuðum. Þetta er strategískt val fremur en almenn lagaskylda.
Gefur SYAGA út vottunina?
Nei. ISO 27001-vottunin er eingöngu gefin út af óháðri viðurkenndri vottunarstofu, að lokinni ytri úttekt. SYAGA aðstoðar þig við undirbúninginn (Gap Assessment, skjalfestingu ISMS, úrbótaáætlun, undirbúning starfsfólks), en gefur ekki sjálf út vottorðið.
Hvað er yfirlýsing um gildissvið (SoA)?
SoA er skyldubundið staðlaskjal í vottunarmöppunni. Það telur upp hverja af 93 stýringum viðauka A og tilgreinir hvort hún sé beitt eða undanskilin, ásamt tilheyrandi rökstuðningi. Þetta er eitt af þeim skjölum sem mest er skoðað í vottunarúttektinni.
Hversu mikinn tíma þarf starfsfólk mitt að leggja í þetta?
Meginhluti vinnunnar (mat, skjalagerð, úrbótaáætlun) er unninn af endurskoðendum okkar. Starfsfólk þitt er einkum kallað til við upphaflega afmörkunarviðtalið og kynningarfundi. Heildartími vottunarferlisins ræðst mjög af umfangi þínu og upphaflegu þroskastigi; hann er metinn í hverju tilviki í tilboðinu.
Hvers vegna hefur SYAGA burði til að aðstoða mig?
SYAGA Consulting hefur framkvæmt öryggisúttektir upplýsingakerfa síðan 2009. Endurskoðendur okkar starfa með viðskiptavinum af ýmsum stærðum í mörgum atvinnugreinum. Aðferðafræðin við Gap Assessment og skjalagerð sem notuð er fyrir ISO27001-Express byggir á sama kerfi og þegar er notað í öðrum samræmisverkefnum okkar (PSSI-Express).
SYAGA aðstoðar þig við undirbúning ISMS og vottunarmöppunnar. Sjálf ISO/IEC 27001-vottunin er gefin út af óháðri viðurkenndri vottunarstofu, ótengdri SYAGA. Þetta efni er stuðningsverkfæri og telst ekki lögfræðileg ráðgjöf.

Tilbúin(n) að skipuleggja ISO 27001-ferlið þitt?

Hafðu samband við okkur til að fá sérsniðið tilboð eftir umfangi þínu og núverandi þroskastigi.

Regluvöktun - opinberar heimildir

Það sem ISO/IEC 27001 raunverulega segir, útskýrt á einfaldan hátt. Hvert atriði vísar til opinberrar heimildar (ISO, AFNOR, COFRAC, ANSSI), uppfært 17.07.2026.

Hvað er þetta, í raun?

ISO/IEC 27001 er viðurkennd aðferð til að greina þær ógnir sem steðja að gögnum þínum, hafa stjórn á áhættunni og innleiða réttar varnir, þannig að upplýsingar þínar haldist trúnaðarbundnar, aðgengilegar og áreiðanlegar. Þetta er ekki hugbúnaður, heldur skipulag sem koma þarf á innan fyrirtækisins.

Heimild: AFNOR Certification (frönsk vottunarstofa)

Þetta er val, ekki lög

Ólíkt öðrum ferlum (eins og öryggisviðurkenningu sem lögð er á ákveðin kerfi franska ríkisins) er ISO 27001 valfrjáls: hún er vottunarstaðall, ekki almenn lagaskylda. Þú velur hana til að róa viðskiptavini, samstarfsaðila og tryggingafélög.

Heimild: ANSSI (frönsk yfirvöld, aðferðarblað)

Hver gefur út vottorðið?

Aldrei fyrirtækið sjálft né ráðgjafi: aðeins óháð, viðurkennd vottunarstofa getur gefið það út (COFRAC er eina franska vottunaryfirvaldið, stofnað 1994). Vottorðið sem fæst gildir í 3 ár.

Heimild: COFRAC (frönsk vottunarstofa)

Ferlið, í 6 skrefum

Undanfarandi mat (valkvætt), undirbúningur, yfirferð skjala, úttekt á staðnum til að sannreyna hvað er raunverulega til staðar, útgáfa vottorðs (3 ár), síðan eftirlitsheimsókn árlega og heildarúttekt til endurnýjunar eftir 3 ár. Ekkert er endanlegt til frambúðar.

Heimild: AFNOR Certification (frönsk vottunarstofa)

Skilar þetta raunverulega árangri?

Samkvæmt könnun AFNOR meðal vottaðra fyrirtækja: 89% urðu vör við færri öryggisatvik, 83% hafa traustari innri öryggisferla, og 88% héldu viðskiptavinum sem hefðu hugsanlega farið án vottunarinnar.

Heimild: könnun AFNOR 2019

Viðurkennd alls staðar, ekki aðeins í Frakklandi

Þetta er mest notaði upplýsingaöryggisstaðall heims samkvæmt ISO sjálfri. Og vottunarkerfið sem hefur eftirlit með vottunarstofum (eins og COFRAC í Frakklandi) er alþjóðlega viðurkennt með samningum milli landa, sem auðveldar aðgang að mörkuðum í Evrópu og víðar.

Heimild: ISO (nefnd JTC1/SC27)

Hverjir falla raunverulega undir ISO 27001?

Það þarf hvorki að vera alþjóðlegt stórfyrirtæki né stafrænt fyrirtæki. Hér er, með stuðningi opinberra heimilda, hverjir geta (og stundum þurfa) að huga að þessu.

Allir, án undantekninga eftir stærð eða atvinnugrein

Vottunin beinist að „öllum stofnunum, fyrirtækjum og sveitarfélögum, af öllum stærðum og í öllum atvinnugreinum sem hafa gögn, hvort sem er á pappír eða á rafrænu formi". AFNOR tekur sjálf fram að hún beinist ekki „einungis að gagnahýsingaraðilum, sprotafyrirtækjum, alþjóðlegum stórfyrirtækjum eða upplýsingatæknifyrirtækjum": bókhaldsstofa, bifreiðaverkstæði, félagasamtök, sveitarfélag, heilsugæsla... ef þú hefur gögn, fellur þú undir þetta.

Heimild: AFNOR Certification (frönsk vottunarstofa, 17.07.2026)

Val, aldrei skylda sem slík

Opinbert aðferðarblað ANSSI (maí 2025) staðfestir þetta svart á hvítu: fyrir ISO/IEC 27001 er reiturinn „Skylda" merktur „Valfrjálst". Á móti gildir öryggisviðurkenning (hin raunverulega lagaskylda) aðeins um upplýsingakerfi franska ríkisins og reglusettra franskra rekstraraðila (OIV/OSE). Þetta eru tveir ólíkir heimar: ekki rugla þeim saman ef þjónustuveitandi talar um lagalega ISO 27001-skyldu - það er ekki rétt.

Heimild: ANSSI (frönsk yfirvöld), aðferðarblað v1.0 (maí 2025)

Hin raunverulega kveikja: evrópska tilskipunin NIS2

Evrópski textinn NIS2 (sem er skylda) vísar sérstaklega til staðlafjölskyldunnar ISO/IEC 27000, sem ISO 27001 tilheyrir, sem viðmiðun um góðar starfsvenjur fyrir netöryggisráðstafanir sem innleiða þarf. Framkvæmdastjórn Evrópusambandsins biður aðildarríkin um að „stuðla að notkun viðeigandi evrópskra og alþjóðlegra staðla". Í raun: ISO 27001 verður viðurkenndasta leiðin til að sanna NIS2-samræmi gagnvart eftirlitsaðila.

Heimild: EUR-Lex, tilskipun (ESB) 2022/2555, formálsgreinar 79-80

NIS2 í raun: 18 atvinnugreinar, frá 50 starfsmönnum

Samkvæmt Framkvæmdastjórn Evrópusambandsins nær NIS2 yfir 18 mikilvægar atvinnugreinar: orku, samgöngur, heilbrigðisþjónustu, fjármál, vatnsstjórnun, stafræna innviði (þegar í NIS1), auk nú einnig almennra fjarskipta, samfélagsmiðla, úrgangsstjórnunar, framleiðslu mikilvægra vara, pósts, opinberrar stjórnsýslu og geimiðnaðar. Stærðarreglan: „meðalstórar og stórar einingar" í þessum greinum þurfa að grípa til netöryggisáhættustjórnunarráðstafana og tilkynna umtalsverð atvik.

Heimild: Framkvæmdastjórn Evrópusambandsins, digital-strategy.ec.europa.eu

Hvað þýðir „meðalstórt fyrirtæki" nákvæmlega?

Opinbera evrópska skilgreiningin (tilmæli 2003/361/EB) setur nákvæm viðmiðunarmörk. Fyrirtæki fer yfir „meðalstórt"-mörkin (og fellur líklega undir NIS2) um leið og það fer yfir eitt af þessum viðmiðum:

Flokkur Starfsmannafjöldi Velta
Örfyrirtæki undir 10 2 millj. evra eða minna
Lítið fyrirtæki undir 50 10 millj. evra eða minna
Meðalstórt fyrirtæki undir 250 50 millj. evra eða minna
Heimild: Framkvæmdastjórn Evrópusambandsins, skilgreining á litlum og meðalstórum fyrirtækjum

Gildissviðið stækkar, einnig fyrir smærri einingar

Framkvæmdastjórn Evrópusambandsins lagði 20. janúar 2026 fram markvissa breytingartillögu til að einfalda samræmi fyrir 28.700 fyrirtæki, þar af 6.200 ör- og lítil fyrirtæki. Sönnun þess að málið varðar ekki lengur eingöngu stór fyrirtæki: smærri einingar lenda í því, í gegnum viðskiptavini sína eða atvinnugrein, að þurfa að uppfylla sömu kröfur.

Heimild: Framkvæmdastjórn Evrópusambandsins, digital-strategy.ec.europa.eu (20.01.2026)