Hva er ISMS – og hvorfor er det viktig?

a man typing on a computer

Et ISMS (Information Security Management System) er et ledelsessystem som hjelper virksomheter med å beskytte sensitiv informasjon gjennom en strukturert og risikobasert tilnærming. Det er kjernen i ISO/IEC 27001-standarden, og gir et rammeverk for å identifisere, håndtere og redusere risiko knyttet til informasjonssikkerhet.

Et godt implementert ISMS gir: 

  • Økt tillit hos kunder og partnere 
  • Bedre etterlevelse av lover og forskrifter (som GDPR og NIS2) 
  • Redusert risiko for databrudd og driftsavbrudd 
  • Forbedret internkontroll og dokumentasjon

Samtidig er det stor usikkerhet i mange virksomheter rundt hva begreper som "risikovurdering", "tiltak", "kontroller" og "compliance" faktisk innebærer i praksis. En tydelig og praktisk sjekkliste bidrar til å avmystifisere temaet og gir både ledelse og ansatte et konkret verktøy for å forstå og etterleve kravene. Dette er spesielt viktig i en tid der IT og cybersikkerhet ikke lenger er forbeholdt tekniske miljøer, men angår hele organisasjonen. 

 

Sjekkliste for ISMS (basert ISO/IEC 27001:2022) 

Nr 

Kontrollpunkt 

Forklaring 

1 

Omfang og policy 

Definer hva ISMS skal dekke (scope), og etabler en overordnet policy for informasjonssikkerhet. 

2 

Risikostyring 

Utfør risikovurdering og risikohåndtering for å identifisere og redusere trusler mot informasjon. 

3 

Statement of Applicability (SoA) 

Dokument som viser hvilke sikkerhetstiltak fra Annex A som er relevante og hvorfor. Dokumentet er påkrevd iht til standarden ISO27001. 

4 

Kompetanse og bevissthet 

Sørg for at ansatte har nødvendig opplæring og forståelse for sikkerhetskravene. 

5 

Dokumentasjon og kontroll 

Opprett og vedlikehold dokumentasjon som støtter ISMS, inkludert prosedyrer, logger og revisjonsrapporter. 

6 

Overvåking og måling 

Sett opp KPI-er og overvåk sikkerhetsytelsen. Gjennomfør interne revisjoner og ledelsens gjennomgang. 

7 

Hendelseshåndtering 

Ha en plan for hvordan sikkerhetshendelser skal identifiseres, rapporteres og håndteres. 

8 

Kontinuitet og beredskap 

Planlegg for hvordan informasjonssikkerheten skal opprettholdes under forstyrrelser og kriser. 

9 

Etterlevelse av lover og krav 

Identifiser og dokumenter relevante juridiske, regulatoriske og kontraktsmessige krav. 

10 

Kontinuerlig forbedring 

Bruk avvik, revisjonsfunn og ledelsens gjennomgang til å forbedre ISMS over tid. 

 
ISMS-nøkkelbegreper 

Her er en samling av de mest brukte begrepene innen ISMS, med forklaringer som kan vises/skjules i rullgardinmenyen. 

 

NIS2 – Network and Information Security Directive 2 

Hva er NIS2? 
NIS2 er EUs direktiv for å styrke cybersikkerheten i samfunnskritiske virksomheter og deres leverandører. Det stiller krav til risikobasert styring, hendelseshåndtering, leverandørkjede, kontinuitetsplaner og tekniske minimumstiltak. ISO/IEC 27001 er anbefalt som rammeverk for å oppfylle kravene. 

  

ISO/IEC 27001 

Hva er ISO/IEC 27001? 
Dette er den internasjonale standarden for informasjonssikkerhet. Den definerer krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et ISMS. Den er også et verktøy for å oppfylle krav i NIS2 og GDPR.  
 

IEC 62443 

Hva er IEC 62443?En standardserie for cybersikkerhet i industrielle kontrollsystemer (OT – Operational Technology). Den brukes ofte sammen med ISO 27001 for å sikre både IT og OT-miljøer.  
 

IT vs OT 

Hva er forskjellen på IT og OT?- **IT (Information Technology)**: Systemer som håndterer data, e-post, ERP, CRM osv. - **OT (Operational Technology)**: Systemer som styrer fysiske prosesser, som produksjonslinjer, SCADA og sensorer. OT har ofte høyere krav til tilgjengelighet og sikkerhet.  
 

SoA – Statement of Applicability 

Hva er SoA?Et dokument som viser hvilke sikkerhetstiltak fra ISO 27001 Annex A som er valgt, og hvorfor. Det er et sentralt dokument i ethvert ISMS og brukes i revisjoner. 
 

Annex A 

Hva er Annex A?En liste over 93 sikkerhetstiltak i ISO/IEC 27001:2022, gruppert i fire temaer: organisatoriske, menneskelige, fysiske og teknologiske kontroller. 
 

Risikostyring 

Hva betyr risikostyring i ISMS?En systematisk prosess for å identifisere, analysere og håndtere risikoer knyttet til informasjon. Det er kjernen i ISMS og grunnlaget for valg av sikkerhetstiltak.  
 

Business Continuity (ISO 22301) 

Hva er ISO 22301?En standard for beredskap og kontinuitetsstyring. Den brukes ofte sammen med ISO 27001 for å sikre at virksomheten kan fortsette under og etter en krise.  

GDPR og ISO 27701 

Hvordan henger GDPR og ISMS sammen?ISO 27701 bygger videre på ISO 27001 og fokuserer på personvern. Den hjelper virksomheter med å dokumentere og etterleve GDPR-krav. 


 
Tips for implementering 

  • Involver ledelsen tidlig og sørg for forankring i hele organisasjonen. 
  • Bruk eksisterende ledelsessystemer (som ISO 9001) som grunnlag. 
  • Sett av ressurser til å jobbe med risikovurdering og -håndtering 
  • Velg relevante tiltak fra Annex A, og hvor du må ha ekstra god kontroll 
  • Bruk sjekklister for å sikre at alle krav er dekket. 
  • Tiltak begrunnes: I henhold til ISO/IEC 27001:2022 skal virksomheten dokumentere hvorfor hvert sikkerhetstiltak fra Annex A enten er: - inkludert (hvordan det implementeres), eller - utelatt (hvorfor det ikke er relevant). Dette gjøres i dokumentet Statement of Applicability (SoA).  
  • Tiltak basert på relevante risikovurderinger: Det anbefales å lenke hvert tiltak til relevante risikovurderinger, slik at det er tydelig hvordan tiltakene håndterer identifiserte trusler og sårbarheter. Dette gir sporbarhet og styrker etterlevelsen ved revisjon. 

 

For mer informasjon om standardene som danner grunnlaget for et ISMS, anbefales det å se nærmere på ISO 27001 sertifisering av ledelsessystem.