Tillbaka till bloggen
11 min read

Guide: ISO 27001-certifiering eller en säkerhetsrapport enligt ISAE 3402

Joanna Kwong
By: Joanna Kwong GDPR,Cybersäkerhet | 20 januari

Inledning: Vilken typ av säkerhetsrapport ska jag skaffa?

På CyberPilot ser vi att det blir allt viktigare för organisationer att vara certifierade inom informationssäkerhet eller att få en säkerhetsrevision enligt ISO 27001 eller ISO 27002.


 I det härblogginlägget får du en översikt över de olika sätten att bli certifierad inom informationssäkerhet. Du kommer också att lära dig skillnaden mellan olika typer av säkerhetscertifieringar och säkerhetsrevisioner , och de steg du måste ta för att få var och en. Efter att ha läst det här inlägget hoppas vi att du bättre förstår om du bör arbeta mot certifiering. Om du vill säkerställa att du följer GDPR:s krav på hantering av personuppgifter kan du ta en titt på fördelarna med en ISAE 3000-rapport.

Det här inlägget innehåller mycket information, så här är vad du kan förvänta dig. Först kommer vi att definiera de olika typerna av certifieringar och säkerhetsrevisioner som finns för informationssäkerhet . I de följande avsnitten diskuterar vi för- och nackdelar med varje typ , väger de potentiella kostnaderna och ger slutligen en rekommendation om hur din organisation kan gå vidare.

Innehållsförteckning

Varför ska man ändå bli ISO 27001-certifierad eller göra en ISAE 3402-säkerhetsrevision?

Att bli certifierad eller granskad är ett bra sätt att visa dina kunder och partners att din organisation är engagerad i god IT-säkerhetspraxis. Det visar också att du har kontroll över saker och ting och är proaktiv när det gäller din organisations säkerhet.

Det kan också förbättra organisationens rykte och kan användas i marknadsföringskampanjer, beroende på bransch och sammanhang. Om du till exempel är ett företag som regelbundet behandlar konfidentiella uppgifter kommer en certifiering utan tvekan att göra dina potentiella kunder lugnare.

Förutom att inneha en ISO-certifiering är utbildning av ditt team ett av dina starkaste IT-säkerhetsförsvar, eftersom människor är den största säkerhetsrisken för organisationer. Om du vill veta mer om hur ett utbildat team kan öka din IT-säkerhet kan du kolla in vår utbildning i medvetenhet.

Vi förstår att det finns många aspekter att ta hänsyn till när du ska välja en säkerhetscertifiering. I de följande avsnitten kommer vi att försöka begränsa det ytterligare för dig. Om du vill kan du också börja med att läsa våra allmänna riktlinjer för att uppfylla kraven i GDPR.

Vad är en ISO-certifiering?

International Organization for Standardization (ISO) är en internationell organisation för standardisering. Det är världens största och mest allmänt erkända utvecklare av frivilliga internationella standarder. När det gäller hantering av informationssäkerhet handlar det om standarder i ISO 27000-familjen.

ISO 27000/IEC 27000

ISO 27000-familjen (även känd som serien) består av informationssäkerhetsstandarder som publiceras gemensamt av International Organization for Standardization (ISO) och International Electrotechnical Commission (IEC), vilket är anledningen till att du ofta ser de två förkortningarna användas. Med andra ord är ISO 27000 och ISO/IEC 27000 samma standard. Framöver kommer vi oftast att använda ISO-förkortningen, och detta gäller även ISO/IEC 27001 och ISO/IEC 27002.

Serien består av mer än ett dussin standarder. ISO 27000 ger en översikt och den vokabulär som används i alla standarderna. De flesta organisationer är intresserade av en ISO 27001-certifiering med möjlighet att utöka den till ISO 27002.

 

Picture of the risk analysis template

Vad är ISO/IEC 27001?

ISO 27001 är den mest kända standarden som innehåller krav på ett ledningssystem för informationssäkerhet (ISMS). När företag talar om att skaffa en ISO-certifiering inom informationssäkerhet är det oftast detta som avses. Det innehåller alla policyer och processer som är relevanta för hur data kontrolleras och används. Den definierar dock inte specifika verktyg, lösningar eller metoder. Istället fungerar den som en checklista för efterlevnad. Huvudsyftet är att arbetet ska vara en pågående process, inte något som man bara gör en gång. Därför fokuserar vi på hur processen och förbättringarna är kontinuerliga.

ISO 27001 använder ett riskbaserat tillvägagångssätt, vilket är anledningen till att det inte finns några specifika eller förutbestämda krav som en organisation måste uppfylla.Med ISO 27001 krävsdock att man genomför lämpliga tekniska och organisatoriska åtgärder. Därför är det upp till den enskilda organisationen att bedöma vilka dessa lämpliga åtgärder är. Nyckeln här är att göra en riskbedömning, så att du vet vilka åtgärder som är lämpliga för din organisation.

Att bedöma potentiella säkerhetsrisker kan också hjälpa dig att bättre förutse incidenter och planera hur du ska minska potentiella risker. Använd vår guide och kostnadsfria mall för att skapa en riskanalys så är du ett steg på vägen mot att bli certifierad.

Krav enligt ISO 27001

ISO/IEC 27001 innehåller tio korta paragrafer och bilaga A, som beskriver hur standarden ska följas.

 Paragraferna i ISO/IEC 27001:2022 är:

  1. Omfattning

  2. Normativa referenser

  3. Termer och villkor

  4. Organisationens kontext

  5. Ledarskap

  6. Planering

  7. Stöd

  8. Verksamhet

  9. Prestationer Utvärdering

  10. Förbättring

Kontrollerna i ISO 27001 finns i bilaga A

Dessutom består ISO 27001 av bilaga A, som definierar 18 enskilda områden av informationssäkerhet som organisationer bör arbeta med, inklusive:

  • Åtkomstkontroll

  • Säkerhet för mänskliga resurser, inklusive medvetenhetsträning

  • Nätverk, inklusive sårbarhetsskanningar

  • Fysisk och miljömässig säkerhet

  • Logghantering

Kort sagt är bilaga A en guide för bästa praxis. Den innehåller kontroller som du kan använda för att jämföra de åtgärder som din organisation har vidtagit med ISO 27001-standarderna. Om din organisation saknar någon av kontrollerna förväntas du antingen implementera den eller dokumentera skälen till varför den inte är tillämplig på din organisation.

Vad är en ISMS?

Ett ledningssystem för informationssäkerhet (ISMS) ger organisationer ett systematiskt tillvägagångssätt för att hantera sin informationssäkerhet. Det är ett centralt hanterat ramverk som använder riskhantering för att hjälpa dig att hantera din organisations information. Ett ISMS innehåller alla policyer och processer som är relevanta för hur data kontrolleras och används.

Det övergripande målet med ett ISMS är att definiera och kontrollera de risknivåer som är relevanta för en organisation. Det finns tre huvudområden att ta hänsyn till:

Konfidentialitet: Endast behöriga personer har tillgång till uppgifterna.
Integritet: uppgifterna är korrekta och fullständiga
Tillgänglighet: uppgifterna kan nås när så krävs

Enligt ISO 27001 följer implementeringen av ett ISMS en Plan-Do-Check-Act-cykel (PCDA) för kontinuerlig förbättring. Det här är en lättanvänd modell som hjälper organisationer att undvika att göra upprepade misstag. Vi rekommenderar att du följer vår guide om hur du tillämpar Plan-Do-Check-Act (PCDA)-modellen för alla typer av processer som du vill förbättra, men vi tror att den är särskilt användbar inom IT-säkerhet.

PDCA: plan-do-check-act for ISO 27001 certification

 

 

Vad är ISO/IEC 27002?

ISO 27002 är inte en standard, utan en uppförandekod som ger förslag, snarare än krav, för effektiv ISMS-hantering. Den är mindre omfattande än ISO 27001 och inkluderar inte Plan-Do-Check-Act-cykeln. Normalt används den av organisationer som redan är i färd med att certifiera sig enligt ISO 27001.

ISO 27002 vägleder organisationer i att välja, implementera och hantera kontroller i sin riskmiljö för informationssäkerhet. Den är utformad för att användas av organisationer som avser att:

  • Välja kontroller inom ramen för processen att implementera ett ISMS baserat på ISO 27001.

  • Implementera allmänt accepterade informationssäkerhetskontroller.

  • Utveckla sina egna riktlinjer för hantering av informationssäkerhet.

Så om du arbetar med att bli ISO 27001-certifierad kan de generiska kontroller som beskrivs i ISO 27002 hjälpa dig att ta reda på hur du ska anpassa säkerhetsriktlinjerna för din egen organisation.

Vad är en ISAE 3402-rapport?

International Standard on Assurance Engagements 3402 (ISAE 3402) är en internationell standard för bestyrkande som föreskriver SOC-rapporter (Service Organization Control). Dessa rapporter försäkrar organisationers kunder och partners om att de har adekvata interna kontroller när det gäller informationssäkerhet. ISAE 3402 definierar två typer av rapporter: Typ 1 och Typ 2.

Vad är en ISAE typ 1-rapport?

En typ 1-rapport omfattar en granskning av dokumentationen, men utan kontroll av själva genomförandet. Med andra ord är en typ 1-rapport en ögonblicksbild av ett givet datum.

Kostnaden för en ISAE 3402 typ 1-rapport består av två delar:

  1. Den interna förberedelsen, implementeringen och dokumentationen.

  2. Granskning, förberedelse och löpande underhåll av rapporten. Denna uppgift måste hanteras av en auktoriserad informationsrevisor.


Kostnaden varierar beroende på revisor och rapportens omfattning.

Vad är en ISAE 3402 typ 2-rapport?

En typ 2-rapport omfattar en granskning av dokumentationen och verifiering av implementeringen. Vanligtvis kommer denna verifiering att ske i form av stickprov samt en genomgång av dokumentation och system. En typ 2-rapport täcker vanligtvis en period på 6 eller 12 månader och syftar till att visa hur kontrollerna har hanterats över tid. Den är därför mer omfattande än en typ 1-rapport.


Kostnaden för en ISAE 3402 typ 2-rapport består av tre delar:

  1. Den interna förberedelsen, implementeringen och dokumentationen.

  2. Det löpande arbetet med att efterleva och dokumentera kontrollerna.

  3. Granskning, förberedelse och löpande underhåll av rapporten.

Kostnaden kommer att variera beroende på revisor och rapportens omfattning.

Vad är skillnaden mellan ISAE 3402 typ 1- och typ 2-rapporter?

Normalt sett kräver organisationers externa partners en rapport, men specificerar inte om det ska vara en typ 1- eller typ 2-rapport. Det är också ganska vanligt att organisationer först upprättar en typ 1-rapport och sedan utökar den till en typ 2-rapport.

Vår erfarenhet visar att genom att arbeta mot en typ 1-rapport och sedan "uppgradera" den till en typ 2-rapport, får man organisationens dokumentation och processer att mogna innan man når en typ 2-rapport. Om man å andra sidan börjar med att försöka få en typ 2-rapport riskerar man att få anmärkningar på rapporten om dokumentationen och kontrollerna inte uppfyller revisorns krav. Med en typ 1-rapport kan du lägga processerna "på is", anpassa dokumentationen och processerna och sedan bli granskad igen.

En annan fördel med att först få en typ 1-rapport är att man kan få den på relativt kort tid eftersom den inte tittar på dokumentationen och processerna över tid. Denna aspekt påverkar avsevärt kostnaden för att få en rapport, och vi rekommenderar att man får en heltäckande prisuppskattning från revisorn.

En kvinna testar gratis kurser i medvetenhet på sin dator

Här är vår rekommendation

Av skälen ovan rekommenderar CyberPilot att du i de flesta fall bör arbeta för att få en ISAE 3402 typ 1-rapport först, och sedan utöka den till en typ 2-rapport om det behövs. Fördelarna inkluderar:

  • Det är betydligt mindre kostsamt att få en typ 1-rapport (upp till två gånger billigare).

  • Du har möjlighet att utveckla och förbättra din organisations processer och dokumentation innan du bestämmer dig för om du vill utöka den till en typ 2-rapport.

  • Det går snabbare att få en typ 1-rapport. En typ 2-rapport tar 3-6 månader, och under den tiden måste du fortfarande vara i drift under revisionen.

  • Eftersom många externa partner inte anger om de förväntar sig en typ 1- eller typ 2-rapport kan du i de flesta fall "nöja dig" med en typ 1-rapport.

Vi förstår att du kanske ändå vill få en ytterligare översikt över vad som krävs för att få en fullständig ISO-certifiering och se hur det kan jämföras med att få en ISAE 3402-rapport. I nästa avsnitt kommer vi att gå djupare in på skälen till varför din organisation kanske vill certifiera sig eller bli granskad och tillhandahålla färdplaner för båda alternativen.

Borde jag ens ISO-certifiera mig eller göra en säkerhetsrevision överhuvudtaget?

Först måste vi avgöra om det är en prioritet för din organisation att bli certifierad eller att genomgå en säkerhetsrevision.

Anledningen/anledningarna till att du kanske vill bli certifierad kan vara följande:

  • Det är ett lagkrav.

  • Det krävs av externa parter (ofta kunder eller partners).

  • Det krävs av styrelsen eller företagets ägare.

Eftersom förberedelserna för att bli certifierad eller reviderad tar mycket tid och resurser i anspråk är det viktigt att du har identifierat behovet av att gå vidare innan du börjar.

Vi har dock sett att processen mot en certifiering eller revision är mycket värdefull för de flesta organisationer eftersom den tvingar dem att grundligt utvärdera sin informationssäkerhet. Under processen kan du bli medveten om problem som du normalt inte skulle ta itu med eftersom du inte behövde göra det för en revision eller certifiering. Att ta itu med dessa frågor kommer utan tvekan att skapa värde för din organisation på lång sikt.

Ska jag skaffa en ISO-certifiering eller en ISAE 3402-rapport?

Nu diskuterar vi om du ska satsa på en fullständig ISO-certifiering eller om du kan "nöja dig" med den enklare (och billigare) ISAE 3402-revisionsrapporten.

En fullständig ISO-certifiering kräver att det finns ett helt implementerat ISMS som dokumenteras och observeras dagligen. Detta är en krävande process i varje steg: implementering, drift, första certifiering och löpande certifiering.

En ISAE 3402-rapport ges om organisationen har uppfyllt en specifik standard. Det innebär att det fortfarande krävs dokumentation i den dagliga verksamheten, men i betydligt mindre utsträckning än vid en fullständig ISO-certifiering. En stor del av processen för att få en ISAE 3402-rapport ingår i certifieringsprocessen.

Det finns alltså fortfarande krav på både dokumentation och daglig drift, men i betydligt mindre utsträckning än vid en fullständig ISO-certifiering. Detta syns också i själva certifieringsprocessen, som vid en revision består av stickprov och intervjuer.

En av de största skillnaderna: kostnad

Kostnaden för en fullständig ISO-certifiering och säkerhetsrevision varierar naturligtvis från organisation till organisation, beroende på flera parametrar, t.ex. omfattning, mognadsgrad för organisationens informationssäkerhet, interna resurser och kompetens. Som utgångspunkt kan man räkna med att en fullständig ISO-certifiering kostar 4-5 gånger mer än en revisionsberättelse (inklusive alla steg).

Användningen av ISO-certifieringar i EU

Generellt har vi sett att fullständiga ISO-certifieringar används i mycket begränsad omfattning i EU och att säkerhetsrevisioner är mycket vanligare. Detta kan ses som ett tecken på att marknaden ofta anser att revisioner är tillräckliga. Det är vanligtvis bara mycket stora företag som siktar på fullständig ISO-certifiering.

Vad innebär det?

När man bestämmer sig för om man ska skaffa en fullständig certifiering eller en säkerhetsrevision bör man också överväga de uppgifter som båda processerna medför.

Det kan vara svårt att förklara exakt vilka uppgifter som är förknippade med att implementera och upprätthålla certifieringen/rapporten, eftersom de skiljer sig åt mellan olika organisationer. Vi börjar dock med att illustrera de steg som ingår i den väg som vi rekommenderar för de flesta organisationer:

ISAE 3402 Bestyrkanderapport - Typ 1 i förhållande till ISO 27002

De senare avsnitten i detta blogginlägg kommer att ytterligare beskriva vad som krävs för att gå från en revision till en fullständig certifiering.

Vad krävs för att få en ISAE 3402 typ 1-rapport?

Följande dokumentation måste finnas tillgänglig för granskning innan rapporten kan upprättas av revisorn.

  • Övergripande informationssäkerhetspolicy (uttalande från ledningen), som innehåller mål och ansvarsområden.

  • Dokumentation av riskbedömning - dokumentation av att denna process är genomförd och godkänd av ledningen.

  • Informationssäkerhetshandboken, som beskriver den övergripande processen och åtgärderna på en hög nivå. Manualen följer kapitel från ISO 27002-standarderna. Informationssäkerhetshandboken är till för att dokumentera de åtgärder som har vidtagits för att hantera informationssäkerheten. Det är ett dokument för användning inom IT-avdelningen och för revision, inte för den övriga personalen.

  • Policyer, riktlinjer och rutiner som rör informationssäkerhet. T.ex. en beredskapsplan och riktlinjer för anställda.


Eftersom ISO 27002 är ett riskbaserat tillvägagångssätt är det också relevant att titta på slutsatserna från din riskbedömning och avgöra vilka förbättringar som måste göras för att uppnå en acceptabel risknivå.

Därefter kommer vi att diskutera de steg som krävs för att "uppgradera" till en typ 2-rapport och sedan till en ISO 27001-certifiering.

Picture of the risk analysis template

 

Vad krävs för att få en ISAE 3402 typ 2-rapport?

För att få en typ 2-rapport behöver du oftast samma typ av dokumentation som du behöver för en typ 1-rapport. Här är andra saker du kan förvänta dig:

  • Förberedelser - organisation och beskrivning av kontrollerna.
  • Löpande kontroll och dokumentation av aktiviteter (tidsintervall måste fastställas).
  • Kostnad för revisionsberättelsen - upp till två gånger mer jämfört med en typ 1-rapport.

En betydande mängd tid och kostnader bör förväntas för att utöka din rapport till en typ 2-rapport. Detta gäller förberedelser, löpande inspektioner och kostnader för revisorn. Det finns också en risk för att revisorn kommer att invända mot den nyligen implementerade kontrollen, vilket kan innebära att du får ofördelaktiga resultat i rapporten.

Diskutera möjligheterna med din revisor

Vi rekommenderar att du inleder en dialog med revisorn om en framtida önskan att få en typ 2-rapport samtidigt som du påbörjar processen med att få en typ 1-rapport. Under denna process kommer det att bli tydligare vilka ytterligare åtgärder och kontroller som ni måste genomföra för att få en typ 2-rapport. Dessutom kommer revisorn att få en bättre uppfattning om hur mycket arbete som krävs för att utöka rapporten. Genom att gå stegvis tillväga kan man ofta minska kostnaden för att anlita en revisor avsevärt.

 

 

Detta är en typisk färdplan för att få en säkerhetsrevision

  • Bestäm omfattningen av säkerhetsrevisionen med utvalda kunder och partners. Syftet är att säkerställa att båda parter accepterar de avsedda granskningsnivåerna.
  • Inleda en dialog med revisorerna för att få en uppskattad kostnad för deras förberedelser av säkerhetsrevisionen.
  • Fatta ett slutligt beslut om vilken typ av säkerhetsrevision som ska genomföras och vilken nivå den ska ligga på.
  • Samla in relevanta dokument, bland annat
    • Organisationens policy för informationssäkerhet
    • Informationssäkerhetshandboken
    • Ytterligare riktlinjer och policys som kan vara relevanta.
  • Kom överens med revisorn om hur säkerhetsrevisionen ska förberedas.
  • Implementera de nya processerna.
  • Säkerhetsrevisionen av typ 1 är genomförd.
  • Det nya systemet för hantering av informationssäkerhet (ISMS) är i drift i 6-12 månader.
  • Det är möjligt att utföra en säkerhetsrevision av typ 2.

 

 

Hur går man från ISO 27002 till ISO 27001?

Skillnaden mellan ISO 27001 och ISO 27002 ligger i dokumentationen och upprättandet av ledningssystemet, inklusive PDCA-cykeln. Det är denna del som måste implementeras och drivas för att gå från ISO 27002 till ISO 27001. I ISO 27001 måste kapitlen 4-10 ingå i organisationens ledningssystem för informationssäkerhet.

De steg som krävs för att etablera denna process ligger dels i dokumentation och organisering av era interna processer för de fyra faserna, dels i den tid det tar för er organisation att implementera processerna.

Den verkliga skillnaden ligger i faserna "kontrollera" och "agera" i PDCA. Här kräver ISO 27001 att en kontinuerlig process används för att sätta upp mål för de enskilda initiativen, kontrollera om initiativen är effektiva och kontinuerligt göra justeringar om resultaten avviker från målen.

Eftersom ISO 27001 har en större omfattning än ISO 27002 kan man förvänta sig att revisionen kommer att kosta betydligt mer, eftersom revisorn också kommer att granska och revidera dokumentationen från kapitel 4-10 som en del av certifieringsprocessen.

Här är vad du kan förvänta dig:

  • Förberedelser - Dokumentation och beskrivning av processer som omfattas av kapitlen 4-10 i ISO 27001-standarden.
  • Implementering och de processer som är kopplade till de fyra faserna (Plan-Do-Check-Act).
  • Säkerhetsrevision - bör överenskommas med revisorn.


Den extra interna tid som krävs är den största skillnaden när det gäller att gå från en ISO 27002- till en ISO 27001-certifiering.

Precis som att arbeta med en ISAE 3402 typ 1 vs typ 2 revision, kommer det att vara till din fördel att arbeta steg för steg när du expanderar från ISO 27002 till ISO 27001. Att certifiera sig enligt ISO 27001 kan mycket väl vara lämpligt för organisationer när de mognar.

Varför CyberPilot rekommenderar att du skaffar en ISAE 3402-rapport

På CyberPilot rekommenderar vi att ISAE 3402-rapporten vanligtvis är det optimala valet för de flesta organisationer att arbeta mot. Detta beror på följande:

  • De extra kostnader som uppstår före, under och efter en fullständig ISO-certifiering kommer sannolikt att överstiga dess mervärde. Detta är inte fallet med en ISAE 3402-rapport.
  • Om du senare upptäcker att du vill "uppgradera" till en fullständig ISO-certifiering kommer ISAE 3402-rapporten fortfarande att fungera som en bra utgångspunkt.

Observera: Vi rekommenderar ALLTID att du kontaktar och diskuterar detta beslut med de kunder och partners som kräver att du skaffar en certifiering eller en revision, innan du börjar arbeta mot det.

CyberPilot, din partner för informationssäkerhet

Vi hoppas att det här blogginlägget har gett dig en bättre förståelse för ISO 27001-certifieringar och ISAE 3402-rapporter. Vi på CyberPilot erbjuder lösningar som kan hjälpa dig att stärka informationssäkerheten i din organisation inför en certifiering eller revision. Dessa lösningar inkluderar:

Om du har några frågor om våra lösningar är du välkommen att kontakta oss på info@cyberpilot.io. Vi kan hjälpa dig att sätta din organisation på rätt väg mot bättre informationssäkerhet.

En kvinna testar gratis kurser i medvetenhet på sin dator

 
Back to blog
Recent articles
GDPR Vad ISAE 3000 är och hur det kan hjälpa ditt GDPR-arbete

ISAE 3000 kan hjälpa ditt GDPR-arbete, men rapporten kräver mycket arbete, och är därför inte för alla. Här får du en snabb introduktion till vad ISAE 3000 är och om den kan v

Emilie Mongstad Grenth 4 min read - By Emilie Mongstad Grenth
Cybersäkerhet Även mindre företag behöver cybersäkerhet, enligt ENISA

I en ny rapport från ENISA rekommenderas små och medelstora företag att ta cybersäkerhet på allvar. De pekar ut tre områden som behöver uppmärksammas. Här är de

Isabella Lüders 3 min read - By Isabella Lüders
GDPR Ny IBM-rapport: Den verkliga kostnaden för ett dataintrång 2024

Dataintrång är dyra. Med IBM:s 2024 Cost of Data Breach-rapport går vi igenom hur dataintrång kan påverka din verksamhet och hur du undviker ett intrång.

Sarah Hofmann 10 min read - By Sarah Hofmann