ISO 27001
ISO/IEC 27001 er den internationale standard for et ledelsessystem for informationssikkerhed (ISMS). Det er den certificering europæiske enterprise-indkøb oftest beder softwareleverandører om, og det rammeværk de fleste NIS 2-omfattede enheder bruger til at vise overensstemmelse.
2022-revisionen omstrukturerede Annex A til 93 kontroller fordelt på fire temaer (organisatorisk, mennesker, fysisk, teknologisk), ned fra 114 i 2013-udgaven. Certificering omfatter en Stage 1 dokumentationsrevision, en Stage 2 operationel revision, årlig overvågnings-audit, og en treårig recertificeringscyklus. Europæiske købere behandler ISO 27001 som et minimumskrav for softwareleverandører der håndterer regulerede data, og NIS 2-forpligtelser kortlægger i høj grad mod Annex A-kontrollerne.
Definitioner
Praktiske guides
ISO 27001 Annex A: the 93 controls in the 2022 revision
Annex A of ISO/IEC 27001:2022 lists 93 reference controls in four themes: 37 organisational, 8 people, 14 physical, 34 technological. The previous 2013 version had 114 controls in 14 domains. The change is structural, not a relaxation of scope.
ISO 27001 certification path: from gap assessment to recertification
ISO 27001 certification follows a fixed path: gap assessment (optional), ISMS implementation, internal audit and management review, Stage 1 and Stage 2 audit by an accredited body, annual surveillance audits, recertification in year three.