Hva er ISO 27001, og hvorfor du taper anbud uten den
Stadig flere kjøpere krever ISO 27001-sertifisering for at dere skal få lov til å by. Uten den faller dere stille ut av anbud dere kunne ha vunnet.
Dere taper anbud dere burde ha vunnet, og dere får kanskje aldri vite hvorfor. Flere kjøpere setter nå ISO 27001-sertifisering som en port: uten sertifikat, ingen plass i konkurransen. Spørreskjemaet kommer, selgeren deres ser den manglende linjen, og avtalen blir stille. Kostnaden er ikke et gebyr, men kontrakten som går til en sertifisert konkurrent.
Gjennom compliance-prosjektene dette kvartalet møter jeg det samme foretaket igjen og igjen. Godt produkt, gode referanser, ingen sertifisering. En større kunde eller et offentlig anbud ber om bevis for et styringssystem for informasjonssikkerhet, og da finnes det ingenting å legge fram. Avtalen stopper hos innkjøp, ikke i demoen.
Hva ISO 27001 er
ISO 27001 er den internasjonale standarden for å drive informasjonssikkerhet som et styrt system, ikke som et engangsprosjekt. Gjeldende versjon er ISO/IEC 27001:2022, tredje utgave, utgitt i oktober 2022. Den beskriver hvordan dere etablerer og vedlikeholder et styringssystem for informasjonssikkerhet, på engelsk forkortet ISMS. Et ISMS er summen av policyer, roller og rutiner som avgjør hvordan foretaket beskytter dataene sine og kan vise at det skjer.
Standarden har to halvdeler. Den første er selve styringssystemet: ledelsen forankrer ansvaret for risikoen, dere vurderer sikkerhetsrisikoen, dere håndterer den, og dere forbedrer kontinuerlig. Den andre er vedlegg A, en liste på 93 sikkerhetstiltak fordelt på fire temaer: organisatoriske, menneskelige, fysiske og teknologiske. Dere trenger ikke ta i bruk alle 93. Dere velger dem risikovurderingen forsvarer, og skriver ned hvorfor, i et dokument som kalles erklæring om anvendelighet.
Poenget med standarden er at det skal kunne gjentas. Den ber dere gjøre sikkerhetsarbeidet, skrive ned at dere gjør det, og vise at det fortsetter å skje. Det er nettopp dette en kjøper vil se.
Hva sertifiseringen beviser overfor en kjøper
Sertifisering er en utenforstående revisor som bekrefter at styringssystemet deres virker, og nettopp derfor blir den et salgsfortrinn. Hvem som helst kan påstå at de tar sikkerhet på alvor. Et sertifikat fra et akkreditert organ er bevis fra en tredjepart, så en innkjøper kan krysse av i boksen uten å måtte ta dere på ordet.
Revisjonen følger en fast syklus, og det er verdt å kjenne før dere forplikter dere. En trinn 1-revisjon gjennomgår dokumentasjonen for å se om dere er klare. En trinn 2-revisjon kontrollerer at systemet virker i praksis, med bevis. Består dere begge, får dere et sertifikat som er gyldig i tre år. Hvert år kommer en revisor tilbake for en kortere oppfølgingsrevisjon for å bekrefte at systemet fortsatt lever, og i år tre fornyer en resertifiseringsrevisjon syklusen. Sertifikatet er altså ikke et engangsstempel, men et signal om en varig forpliktelse, og nettopp derfor stoler kjøpere på det.
For kjøperen sparer den tilliten mye eget arbeid. En sertifisert leverandør kommer raskere gjennom kjøperens sikkerhetsgjennomgang, fordi sertifikatet svarer på det meste i spørreskjemaet på forhånd. I IT-relaterte anbud og leverandørkvalifisering er ISO 27001 stadig oftere kvalifikasjonskravet som avgjør hvem som i det hele tatt får by.
Hvorfor dette treffer norske foretak nå
Presset når dere gjennom kundenes kontrakter, enten en lov nevner dere ved navn eller ikke. Norske kjøpere, offentlige virksomheter og storkunder som selger inn i regulerte sektorer, dytter sikkerhetskravene videre ned til leverandørene sine. Når en kunde som selv er omfattet av reglene må styre leverandørrisikoen sin, er den enkleste måten å tilfredsstille egne revisorer på å kreve et anerkjent sertifikat fra dere.
Dette forsterkes av andre regler som allerede er i bevegelse. Det samme styringssystemet som gir ISO 27001, dekker også det meste av sikkerhetsgrunnlaget NIS2 og DORA forventer. Arbeidet er altså ikke til engangsbruk. Et sertifikat dere skaffer dere for anbud i år, støtter den regulatoriske posisjonen deres neste år.
Er kjøperne deres amerikanske og ikke europeiske, kan spørsmålet komme som SOC 2 i stedet for ISO 27001. Det går vi gjennom i forklaringen vår om hva SOC 2 Type 2 er, og hvorfor amerikanske kunder spør om den. De to standardene overlapper kraftig, og ett styringssystem kan mate begge.
Beslutningen styret må ta
Det ene spørsmålet for styret er om ISO 27001-sertifisering blir et finansiert mål i år, med en navngitt ansvarlig og en frist. Dette er et ja eller nei, og det styrer reelle penger: sertifisering koster tid og revisjonshonorar, men alternativet er å bli stengt ute fra anbudene som krever den.
For å treffe godt på beslutningen, be om ett kort notat før dere binder opp budsjett: hvilke av deres nåværende og ønskede kunder som allerede krever ISO 27001 eller sannsynligvis vil gjøre det, hvor mye omsetning som ligger bak de kontoene, og hvor langt dagens sikkerhetsrutiner allerede når standarden. De fleste foretak er nærmere enn de frykter, fordi de allerede gjør mye av arbeidet uformelt. Hullet handler som regel om dokumentasjon og bevis, ikke om manglende evne.
Blir svaret ja, ligger den operative ruten klar i ISO 27001-sjekklisten for norske SMB-er, som går gjennom hva dere bør gjøre først og hva som kan vente. Og vil dere ha det større bildet, der dette behandles som vekst og ikke kostnad, se fra compliance-byrde til konkurransefortrinn.
Neste steg
Se FM CyberSecuritys kvalifikasjoner og partnersertifiseringer på partnersiden vår. Eller avtal en 30-minutters samtale på styrenivå med compliance-praksisen vår om ISO 27001 blokkerer avtaler dere burde vinne.
FAQ
Hva er ISO 27001, forklart enkelt?
ISO 27001 er den internasjonale standarden for å styre informasjonssikkerhet som et løpende system i stedet for en engangsjobb. Gjeldende versjon er ISO/IEC 27001:2022. Den ber dere vurdere sikkerhetsrisikoen, bestemme hvordan dere håndterer den, skrive ned beslutningene og forbedre kontinuerlig. Sertifisering betyr at en utenforstående revisor har bekreftet at systemet virker.
Er ISO 27001-sertifisering lovpålagt?
I de fleste tilfeller er det ikke et lovkrav, men det blir stadig oftere et forretningskrav. Kjøpere, offentlige anbud og storkunder setter ISO 27001-sertifisering som vilkår for å få by eller for å bli godkjent som leverandør. Virkningen i praksis er den samme som et krav: uten det kan dere bli stengt ute fra avtalen.
Hvor lenge varer en ISO 27001-sertifisering?
Et sertifikat er gyldig i tre år. I løpet av den tiden kommer en revisor tilbake hvert år for en kortere oppfølgingsrevisjon for å bekrefte at systemet fortsatt går, og i slutten av år tre fornyer en resertifiseringsrevisjon treårssyklusen. Sertifikatet signaliserer en varig forpliktelse, ikke én bestått prøve.
Hva er forskjellen på ISO 27001 og SOC 2?
Begge viser en kjøper at dere styrer informasjonssikkerheten, men de kommer fra hver sin verden. ISO 27001 er den internasjonale standarden de fleste europeiske og globale kjøpere ber om. SOC 2 er rapporten mange amerikanske kunder ber om i stedet. De to overlapper kraftig, så ett styringssystem for informasjonssikkerhet kan støtte begge.
Har vi allerede det meste ISO 27001 krever?
Ofte ja. De fleste foretak gjør allerede mye av det underliggende sikkerhetsarbeidet, som tilgangsstyring, sikkerhetskopier og hendelseshåndtering. Det vanlige hullet er dokumentasjon og bevis, ikke manglende evne. En modenhetsgjennomgang sammenstiller det dere gjør mot standarden og viser hvor langt dere har igjen.
