ISO
ISO

At blive ISO27001 certificeret eller få en ISAE3402 revisionserklæring: En omfattende guide

Joanna Kwong

Introduktion: Skal jeg få foretaget en certificering eller en revisionserklæring?

Hos CyberPilot ser vi, at det er et voksende krav for organisationer at være certificeret til informationssikkerhed eller opnå en sikkerhedsrevision i henhold til ISO27001 eller ISO27002.

I denne blog kommer vi med et overblik over forskellige måder, hvorpå man kan blive certificeret i informationssikkerhed. Du vil også lære forskellen mellem de forskellige certificeringer og sikkerhedsrevisioner. Målet er at du skal kunne opnå en forståelse for hvorvidt du og din virksomhed bør arbejde mod at blive certificeret. Hvis du kommer frem til at dette stadig er relevant for jer, bør du læse videre og få et overblik over de forskellige trin der ligger forud for en sikkerhedscertifcering.

Til at begynde med vil vi definere de forskellige typer certificeringer og sikkerhedsrevisioner der har at gøre med informationssikkerhed. I de følgende sektioner vil vi diskutere de fordele og ulemper der er ved hvert punkt, hvor vi vægter potentielle omkostninger, for til sidst at komme med en anbefaling til, hvordan din virksomhed kan gå til opgaven.

Indhold

Hvorfor blive ISO27001 certificeret eller få en ISAE3402 sikkerhedsrevision?

At blive certificeret eller revideret er en god måde at vise kunder og samarbejdspartnere at din virksomhed har forpligtet sig til at efterkomme god praksis, når det kommer til informationssikkerhed, og at I er i kontrol over ting.

Det kan også forbedre din virksomheds omdømme og kan blive brugt til at hjælpe med jeres marketing indsats (alt efter hvilken industri og kontekst I indgår i). For eksempel, hvis I er en virksomhed som regelmæssigt behandler fortrolige data, så vil en certificering utvivlsomt berolige jeres kunder.

Vi forstår dog at der indgår mange aspekter i overvejelserne, når det kommer til at træffe den rigtige beslutning. Vi har forsøgt at indsnævre det for jer i de følgende sektioner.

Hvad er en ISO-certificering egentlig?

Den Internationale Organisation for Standardisering (ISO) er en international standard bedømmer organisation. Det er verdens største og bredest anerkendte udvikler af frivillige internationale standarder. Når det kommer til håndteringen af informationssikkerhed, så er det standarden indenfor ISO 27000 familien vi beskæftiger os med.

ISO27001 / IEC27000

ISO27000 familien (også kendt som serier) består af informationssikkerhedsstandarder, som er offentliggjort i samarbejde mellem den Internationale organisation for standardisering (ISO) og den Internationale elektrotekniske kommission (IEC), hvorfor du ofte vil se de to forkortelser optræde sammen. Med andre ord så er ISO27000 og ISO/IEC2700 den samme standard. Fremadrettet vil vi primært benytte os af ISO-forkortelsen. Det samme gælder for ISO/IEC27001 og ISO/IEC27002.

Serien består af mere end et dusin standarder. ISO27000 giver et overblik og ordforråd som kan bruges til standarderne. Når det kommer til certificeringer, er de fleste virksomheder optaget af ISO27001 certificeringen, med muligheden for at udvide denne til en ISO27002.

Hvad er ISO/IEC 27001?

ISO27001 er den mest kendte standard når det kommer til at fremsætte krav til et håndteringssystem indenfor informationssikkerhed, et såkaldt ISMS – det er normalt det virksomheder hentyder til, når man taler om at få en ISO-certificering indenfor informationssikkerhed. Den indeholder alle de relevante politikker og processer til kontrolleringen og brugen af data. Den definerer dog ikke specifikke værktøjer, metoder eller løsninger. Den fungerer istedet som en compliance tjekliste. Hovedobjektivet er at arbejdet skal være en kontinuerlig process og ikke en engangsforestilling. Derfor fokuserer vi på den kontinuerlige proces og forbedringer.

Når det kommer til ISO27001, bruger man en risiko-baseret tilgang, hvorfor der ikke er nogen forudbestemte specifikke krav som en virksomhed skal leve op til. På den anden side er der dog krav for implementeringen af passende tekniske og organisatoriske foranstaltninger. Det er derfor op til den enkelte virksomhed at bedømme hvad disse passende foranstaltninger er – nøgleordet her er ‘risikovurdering’ (risk assessment).

ISO/IEC27001 har ti korte klausuler og bilag A, som du kan læse herunder.

ISO/IEC27001 klausulerne:

  1. Standardens anvendelsesområde
  2. Hvordan dokumentet er refereret
  3. Genbrugen af termer og definitioner i ISO/IEC27000
  4. Organisatorisk kontekst og interessenter
  5. Informationssikkerhedslederskab og højniveau støtte for politik
  6. Planlægning af et informationssikkerhedshåndteringssystem; risiko vurdering; risiko håndtering
  7. Understøttelse af informationssikkerhedshåndteringssystem
  8. Gøre et informationssikkerhedshåndteringssystem operativt
  9. Gennemgang af systemets præstation
  10. Korrigerende handling

Bilag A

Derudover består ISO27001 af bilag A, der definerer 18 individuelle informationssikkerhedsområder, som organisationer skal arbejde med, herunder:

Helt kort så er bilag A en ‘bedste praksis’ guide, der indeholder kontroller som du kan bruge til at sammenligne de foranstaltninger, som din virksomhed har implementeret. Hvis der er manglende foranstaltninger, forventes det at I enten får implementeret disse eller dokumenterer årsagerne til hvorfor disse ikke nødvendigvis er anvendelige for jeres virksomhed.

Hvad er et ISMS?

Et informationssikkerhedshåndteringssystem (Information Security Management System / ISMS) giver virksomheder og systematisk tilgang til håndteringen af deres informationssikkerhed. Det er en centralt styret ramme, der giver dig mulighed for at styre din organisations information gennem risikostyring. Et ISMS indeholder alle politikker og processer, der er relevante for, hvordan data styres og bruges.

Det overordnede mål for ISMS er at definere og kontrollere de risikoniveauer, der er relevante for organisationen. Der er tre hovedområder at forholde sig til:

  1. Fortrolighed: dataene kan kun tilgås af autoriserede personer
  2. Integritet: dataene er korrekte og fuldendte
  3. Tilgængelighed: datene kan tilgås, når det påkræves

Ifølge ISO27001 følger implementeringen af et ISMS en Plan-Do-Check-Act (PCDA) cyklus for kontinuerlig forbedring.

plan do check act

Den grundlæggende metode i ISO 27001 er, at der anvendes en risikobaseret tilgang. Der er således ingen specifikke krav til, at en organisation skal leve op til kravene X, Y, Z osv. På den anden side er der krav til implementering af passende tekniske og organisatoriske foranstaltninger. Det er således op til den enkelte organisation at vurdere, hvad disse passende foranstaltninger er. Nøglen her er ‘risikovurdering’ eller ‘risikoanalyse’.

Hvad er ISO/IEC27002?

ISO27002 er ikke en standard, men en praksis, der tilbyder forslag, snarere end krav til effektiv ISMS-styring. Det er mindre omfattende end ISO27001 og inkluderer ikke Plan-Do-Check-Act-cyklussen. Den implementeres normalt hos organisationer, der allerede er i færd med at blive ISO27001-certificeret.

ISO27002 guider organisationer i valg, implementering og styring af kontroller i deres informationssikkerhedsmiljø. Det er designet til at blive brugt af organisationer, der har til hensigt at:

  1. Vælge kontrolelementer indenfor implementeringen af et ISMS baseret på ISO27001.
  2. Implementere almindeligt accepterede informationssikkerhedskontroller.
  3. Udvikle deres egne retningslinjer for styring af informationssikkerhed.

Hvad er en ISAE3402 revisionserklæring?

Den internationale standard for forsikringsforpligtelser 3402 (ISAE3402) er en international forsikringsstandard, der foreskriver Service Organization Control (SOC) erklæringer. Disse erklæringer giver virksomheders kunder og partnere en forsikring om, at de har tilstrækkelig intern kontrol, når det kommer til informationssikkerhed. ISAE 3402 definerer to typer af erklæringer: Type 1 og type 2.

Hvad er en type 1-erklæring?

En type 1-rapport inkluderer en gennemgang af dokumentationen, men uden kontrol af selve implementeringen. Med andre ord er en type 1-sætning et øjebliksbillede af en given dato.

Omkostningerne ved at opnå en type 1-rapport består af to dele:

  1. Den interne forberedelse, implementering og dokumentation
  2. Gennemgang, forberedelse og løbende vedligeholdelse af erklæringen – denne opgave skal håndteres af en autoriseret informationsrevisor.

Omkostningerne varierer afhængigt af revisoren og erklæringens omfang.

Hvad er en type 2-erklæring?

En type 2-erklæring inkluderer en gennemgang af dokumentationen og verifikation af implementeringen. Denne verifikation vil typisk være i form af prøver og en gennemgang af dokumentationen og systemerne. En type 2-erklæring kker typisk en perioded på 6 eller 12 måneder og sigter mod at vise, hvordan kontroller er blevet styret over tid. Den er derfor mere omfattende end en type 1-erklæring.

Omkostningerne ved at opnå en type 2-erklæring består af tre dele:

  1. Den interne forberedelse, implementering og dokumentation.
  2. Det igangværende arbejde med at overholde og dokumentere kontrollerne.
  3. Gennemgang, forberedelse og løbende vedligeholdelse af erklæringen.

Omkostningerne varierer afhængigt af revisoren og erklæringens omfang.

Hvad er forskellen mellem en type 1 og type 2-erklæring?

Normalt kræver organisationers eksterne partnere en erklæring, men specificerer ikke om det skal være en type 1- eller type 2-erklæring. Det er også ret almindeligt, at organisationer først forbereder sig på en type 1-erklæring og derefter udvider den til en type 2.

Vores erfaring viser os, at ved at arbejde hen imod en type 1-erklæring og derefter ‘opgradere’ den til type 2, får du tid til at  modne organisationens dokumentation og processer, før du opnår en type 2-erklæring. Hvis du på den anden side prøver at direkte efter at opnå en type 2-erklæring, risikerer du at der kommer bemærkninger i erklæringen, hvis dokumentationen og kontrollerne ikke opfylder revisors krav. Med en type 1-erklæring kan du sætte processerne i venteposition, få tilpasset dokumentationen og processerne og derefter blive revideret igen.

En anden fordel ved først at få en type 1-erklæring er, at den kan opnås på relativt kort tid, da den ikke ser på dokumentationen og processerne over tid. Dette aspekt har en væsentlig påvirkning på omkostningerne ved at få en erklæring, og vi anbefaler derfor at få et omfattende prisoverslag fra revisor.

Her er vores anbefaling

Baseret på de ovenstående grunde anbefaler CyberPilot, at du i de fleste tilfælde først bør arbejde mod at opnå en type 1-erklæring og derefter udvide den til en type 2, hvis det er nødvendigt. Fordelene inkluderer:

Vi forstår, at du muligvis stadig gerne vil have et yderligere overblik over, hvad der kræves for at få en fuld ISO-certificering og se, hvordan det sammenlignes med at få en ISAE 3402-erklæring. I det næste afsnit dykker vi dybere ned i grundene til, hvorfor din organisation måske ønsker at blive certificeret eller revideret, og foreslår køreplaner til begge muligheder.

Bør jeg overhovedet blive certificeret eller få en sikkerhedserklæring?

Først skal vi afgøre, om det overhoevdet er en prioritet for din virksomhed at blive certificeret eller få en sikkerhedsrevision.

Årsagen/årsagerne til at du måske ønsker at blive certificeret, kan være på grund af:

Da forberedelse til certificering eller revision kræver en betydelig mængde tid og ressourcer, er det vigtigt at du har identificeret behovet for at komme videre, inden du begynder.

Vi har dog set og erfaret, at processen mod en certificering eller revision er en meget værdifuld proces for de fleste organisationer, fordi det tvinger dem til grundigt at evaluere aspekterne af deres informationssikkerhed. Dette skyldes, at du kan blive opmærksom på problemer, som du normalt ikke ville løse, fordi der ikke tidligere var behov for at blive certificeret eller få en sikkerhedsrevision. Dette vil utvivlsomt skabe værdi for din organisation i det lange løb.

Bør jeg få en ISO-certificering eller en ISA3402-erklæring?

Dernæst diskuterer vi, om du skal gå efter en fuld ISO-certificering, eller om du kan ‘nøjes’ med den enklere (og billigere) revisionserklæring.

En fuld ISO-certificering kræver, at der er et fuldt implementeret ISMS, der dokumenteres og observeres dagligt. Resultatet er at der stilles store krav til både implementering og drift, samt den indledende og igangværende certificeringsproces.

En ISAE 3402-rapport gives, hvis organisationen har overholdt en bestemt standard. Det betyder, at det stadig er nødvendigt at vise dokumentation og hændelserne i den daglige drift, men i væsentligt mindre omfang end med en fuld ISO-certificering. Meget af processen med at få en ISAE 3402-erklæring er inkluderet i certificeringsprocessen.

Der er således stadig krav til både dokumentation og daglig drift, men i væsentligt mindre omfang end med en fuld ISO-certificering. Dette ses også i selve certificeringsprocessen, som for revisionen består af prøver og interviews.

En af de største forskelle: omkostninger

Omkostningerne for en fuld ISO-certificering og sikkerhedsrevision vil naturligvis variere fra virksomhed til virksomhed, afhængigt af flere parametre, såsom virksomhedens omfang, modenhed med hensyn til informationssikkerhed, samt interne ressourcer og kompetencer. Som udgangspunkt forventes det, at en fuld ISO-certificering vil koste 4-5 gange mere end en revisionserklæring (inklusive alle faser).

Brugen af ISO-certificeringer i EU

Generelt har vi set, at brugen af de fulde ISO-certificeringer er meget begrænsede i EU, og at sikkerhedsrevisionerne er meget mere almindelige. Dette kan ses som en erklæring om, at markedet ofte anser revisionen for værende tilstrækkelig.

Ofte er det de meget store virksomheder, der går efter den fulde ISO-certificering.

Hvad involverer det?

Når man skal beslutte, om man vil opnå en fuld certificering eller sikkerhedsrevision, skal man også overveje de opgaver, som begge processer medfører.

Det kan være svært at forklare, hvilke opgaver der helt nøjagtigt er forbundet med implementering, vedligeholdelse, vedligeholdelse af certificeringen / erklæringen, da disse vil variere fra virksomhed til virksomhed. Vi vil dog starte med at illustrere dette for den vej, vi anbefaler for de fleste virksomheder:

ISAE 3402 Forsikringserklæring – Type 1 i forhold til ISO27002

De senere sektioner i dette blogindlæg beskriver yderligere, hvad der påkræves, for at gå fra at blive revideret til en fuld certificering.

Hvad er påkrævet for at opnå en ISAE3402 type 1-erklæring?

Følgende dokumentation skal være tilgængelig for gennemgang, før erklæringen kan udarbejdes af revisor.

Overordnet informationssikkerhedspolitik (erklæring fra ledelsen), som indeholder mål og ansvar.

Dokumentation af risikovurdering – dokumentation for at denne proces er afsluttet og godkendt af ledelsen.

Informationssikkerhedshåndbogen, der beskriver den overordnede proces og foranstaltninger på et højt niveau. Manualen følger kapitler fra ISO27002-standarderne. Informationssikkerhedshåndbogen er til dokumentation af de foranstaltninger, der er implementeret til at håndtere informationssikkerhed. Det er et dokument til brug i IT-afdelingen og til revision, ikke til almindeligt personale.

Politikker, retningslinjer og procedurer i forbindelse med informationssikkerhed. F.eks. en beredskabsplan og retningslinjer for medarbejderne.

Da ISO 27002 er en risikobaseret tilgang, vil det også være relevant at se på konklusionerne fra risikovurderingen og derfra afgøre, hvilke forbedringer der skal foretages for at opnå et acceptabelt risikoniveau.

Dernæst vil vi diskutere de trin der er nødvendige for at ‘opgradere’ til en type 2-erklæring og derefter til en certificering i ISO 27001.

Hvad er påkrævet for at få opnå en ISAE3402 type 2-eklæring?

For at få en type 2-erklæring vil det hovedsagelig bestå af den samme dokumentationstype, som hvis man prøver at få en type 1-erklæring. Her er andre ting man kan forvente:

Man bør forvente en betydelig mængde tid og omkostninger til udvidelse af din erklæring til type 2. Dette gælder for forberedelse, løbende inspektioner og omkostninger for revisor. Der er også en risiko for, at revisor vil modsætte sig den nyligt implementerede kontrol, hvilket kan betyde, at du har ugunstige fund i rapporten.

Diskuter mulighederne med din revisor

Vi anbefaler dog, at du indleder samtalen med revisoren, med at fremsætte jeres fremtidige ønske om at opnå en type 2-erklæring, når I starter processen med at få en type 1-erklæring. I denne proces bliver det tydeligere, hvilke yderligere foranstaltninger og kontroller der skal implementeres for at opnå en type 2-erklæring. Derudover vil revisoren også få en bedre idé til at kunne estimere den påkrævede indsats til at udvide rapporten. Ved at tage en trinvis tilgang kan du ofte reducere omkostningerne ved at have revisoren betydeligt.

Dette er en typisk køreplan for en sikkerhedsrevision:

Hvordan man går fra ISO27002 til ISO27001

Forskellen mellem ISO27001 og ISO27002 ligger i dokumentationen og etableringen af ​​ledelsessystemet, herunder PDCA-cyklussen. Det er denne del, der skal implementeres og betjenes for at gå fra ISO27002 til ISO27001. I ISO 27001 skal kapitel 4-10 inkluderes i organisationens ledelsessystem for informationssikkerhed.

De påkrævede trin i etablering af denne proces ligger dels i dokumentationen og organiseringen af de interne processer for de fire faser, dels i den tid der skal bruges af din virksomhed til at implementere processerne.

Den reelle forskel ligger i ‘tjek’ og ‘reager’ faser. Her kræver ISO27001, at der implementeres en kontinuerlig proces for at sætte mål for de enkelte initiativer, kontrollere om initiativerne er effektive og kontinuerligt justere disse, hvis resultaterne afviger fra objekterne.

Da ISO27001 besidder et større anvendelsesområde end ISO27002, kan det forventes, at revisionen vil koste betydeligt mere, da revisoren også gennemgår og reviderer dokumentationen fra kapitel 4-10 som en del af certificeringsprocessen.

Her er hvad du kan forvente:

Forberedelse: Dokumentation og beskrivelse af processer, der er omfattet af kapitel 4-10 i ISO27001-standarden

Implementering og processerne forbundet med de fire faser (Plan-Do-Check-Act)

Sikkerhedsrevision – bør aftales med revisor.

Det er primært det ekstra interne tidsforbrug, der forventes at udgøre forskellen fra ISO27002 til ISO27001.

Ligesom når der arbejdes med en type 1 vs type 2-erklæring, vil det være til din fordel at arbejde trinvis, når du udvider fra ISO27002 til ISO27001. At blive certificeret i ISO27001 kan meget vel være egnet til virksomheder i takt med at de modnes.

Hvorfor CyberPilot anbefaler at få en ISAE3402-erklæring

Her hos CyberPilot anbefaler vi at en ISAE3402-erklæring vil være det mest optimale valg for de fleste virksomheder at arbejde sig hen imod. Dette pågrund af følgende punkter:

OBS: Vi anbefaler ALTID at du kontakter dine kunder og samarbejdspartnere der kræver at I bliver certificeret eller revisionserklæret, og taler dette igennem med dem inden I begynder at arbejde mod at opnå dette.

CyberPilot, din partner til informationssikkerhed

Vi håber at denne blog kan hjælpe dig til at få en bedre forståelse for ISO certificeringer og ISAE 3402 revisionserklæringer. Her hos CyberPilot tilbyder vi løsninger der kan hjælpe jer til at styrke informationssikerheden i jeres virksomhed, som forberedelse til certificering eller en revisionserklæring. Disse løsninger inkluderer:

Hvis du har nogen spørgsmål om vores løsninger, er du mere end velkommen til at kontakte os på info@cyberpilot.io. Så kan vi få en snak om, hvordan vi kan hjælpe jer med at få jeres organisation på rette spor.

Tilmeld dig vores nyhedsbrev

Modtag nyheder om gratis skabeloner, værktøjer og blogindlæg fra CyberPilot

Gør som 2000+ andre og tilmeld dig vores nyhedsbrev. Her modtager du løbende inspiration, værktøjer og historier om god IT-sikkerhed – direkte i din indbakke. Vi sender ca. én gang om måneden.

Top

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..