Certificering i IT sikkerhed eller revisionserklæring for organisationer

Certificering i IT sikkerhed for organisationer

PDCA
RHV_profile

Rasmus Hangaard Vinge

• 23. Juli 2019 • LÆSETID 16 MIN.

Indledning - certificering eller revisionserklæring?

Mange organisationer oplever at der bliver stillet krav til deres arbejde med it-sikkerhed. Det er ofte fra eksterne samarbejdspartnere eller kunder, som ”kræver” at jeres organisation kan leve op til kravene eller er certificeret i ”ISO27001” eller lignende. 

 

Formålet med denne blog er at afdække forskellige muligheder for certificering inden for IT-sikkerhed. Dernæst er det formålet at skabe et overblik over de opgaver, som er forbundet med etablering af en it-sikkerhedscertificering. 

 

Sidst men ikke mindst er det formålet vise de videre skridt imod implementering og egentlig udarbejdelse af certificering. 

 

Afdækning af forskellige typer for certificering omhandler følgende: 

 

  • ISO-certificering eller revisionserklæring (ISAE 3402 erklæring)?

  • Type-1 eller type-2 (ift. revisionserklæring)? 

  • Anvendt standard: ISO27001 eller ISO27002? 

 

En ”typisk køreplan” for at etablere en revisionserklæring: 

 

  • Afstemning af revisionserklæringsomfang med udvalgte kunder og samarbejdspartnere.

  • Formålet er at sikre, at disse samarbejdspartnere accepterer det tiltænkte erklæringsniveau.

  • Indled dialog med revision for at få estimeret omkostningsniveau for deres udarbejdelse af revisionserklæring

  • Endelig intern beslutning omkring valg af revisionserklæringstype og valg af standard 

  • Udarbejdelse af dokumentation, herunder IT-sikkerhedspolitik, IT-sikkerhedshåndbog og relevante retningslinjer og politikker 

  • Aftale med revision omkring udarbejdelse af revisionserklæring 

  • Implementering af nye tiltag/processer 

  • Udarbejdelse af selve revisionserklæring (type-1) 

  • Drift af det nye ledelsessystem i 6-12 måneder 

  • Evt. udarbejdelse af revisionserklæring (type-2) 

Indhold

  1. Indledning
  2. Hvorfor arbejde med certificering som ISO27001 eller ISAE 3402 revisionserklæringer?
  3. Certificering, erklæring eller ej?
  4. ISO-certificering eller ISAE 3402 revisionserklæringer?
  5. ISO27001 eller ISO27002?
  6. Hvad er ISO27001?
  7. Hvad er ISO27002?
  8. ISO27001 vs. ISO27002?
  9. Type-1 vs. type-2?
  10. Hvilken form for erklæring bør du arbejde med?
  11. Forventede opgaver
  12. Opgaver forbundet med at etablere ISAE 3402 erklæring – type 1 ift. ISO27002
  13. Forventede ekstraopgave for at udvide fra type-1 til type-2 erklæring
  14. Forventede esktraopgave for at udvide fra ISO27002 til ISO27001
  15. Hvordan ser en projektplan for en organisation der vil være certificeret i IT-sikkerhed ud?​​

Hvorfor arbejde med certificering som ISO27001 eller ISAE 3402 revisionserklæringer?

Det overordnede formål med denne blog er at skabe et overblik omkring at opnå certificering eller revisionserklæring op imod ISO27001/2.  

 

Baggrunden for at udarbejde dette notat er, at vi her hos CyberPilot i stigende omfang oplever, at vores kunder bliver mødt af eksterne samarbejdspartneres og klienters krav til deres IT-sikkerhed og specifikt spørger til certificering eller revisionserklæring på området. 

 

Denne blog vil hjælpe dig til at forstå forskellene imellem de forskellige certificeringer og erklæringer. Det kan hjælpe dig til at forstå om I skal arbejde mod certificering elle ej. Derudover vil du være i stand til at planlægge jeres egen proces, hvis det er relevant for jer. 

 

Disse certificeringer og erklæringer er en måde at vise overfor eksterne partnere, at I lever op til god praksis indenfor IT-sikkerhed og at ”I har styr på jeres ting”. 

 

Nogle gange bliver erklæringerne brugt i markedsføringen og andre er det helt konkrete krav fremsat af samarbejdspartnere, som gør det nødvendigt at arbejde med. Det kan f.eks. være i databehandleraftaler eller lignende. 

 

Det er et komplekst område, hvor det er nødvendigt at være helt skarp på de forskellige definitioner og forhold for at kunne tage den rette beslutning. 

 

Hvor skal I starte, hvis I som organisation vil certificeres i IT-sikkerhed - f.eks. ISO27001?

Inden selve arbejdet mod en certificering eller revisionserklæring sættes i gang, er der først og fremmest et behov for at afstemme det præcise omfang, hvilket kan brydes ned i følgende parametre: 

 

  • Certificering eller ej?

  • Hvilken type certificering skal I arbejde imod? 

  • ISO-certificering eller en ISAE 3402-revisionserklæring?
     
  • ISO27001 eller ISO27002?

  • Type-1 eller type-2-erklæring (dvs. uden eller med kontroller)? 

  • Anbefalinger ift. certificering/erklæring, ISO27001/2 og type-1/2. 

  • Hvad er de forventede opgaver for de forskellige typer certificeringer/erklæringer? 
 
 

Certificering, revisionserklæring eller ej?

Det første step er naturligvis at afklare om det overhovedet er en prioritet for jeres organisation at blive certificeret eller få en revisionserklæring eller ej?  

 

Baggrunden for at blive certificeret er ofte en af følgende: 

 

  • Lovkrav 

  • Krav fra eksterne samarbejdspartnere (ofte kunder) 

  • Krav fra bestyrelse/ejere 
 

 

Arbejdet med at blive certificeret eller få etableret en revisionserklæring kræver ressourcer og derfor er det vigtigt, at I har afdækket det faktiske behov inden I går i gang.  

 

Det er dog vores erfaring, at processen imod en certificering/erklæring ofte er en rigtig sund proces for de fleste organisationer, da det tvinger dem til at overveje alle relevante aspekter af deres egen it-sikkerhed. Det betyder ofte, at I bliver opmærksom på forhold, som I normalt ikke ville få adresseret uden kravet om certificering/erklæring, men som skabet værdi for jeres organisationen på den lange bane. 

 

ISO-certificering eller ISAE 3402-revisionserklæring?

Som det næste bør det afklares, hvorvidt der er behov for en fuld ISO-certificering eller om I kan ”nøjes” med den mere simple (og mindre omkostningstunge) revisionserklæring. 

 

En fuld ISO-certificering stiller krav til et fuldt implementeret ledelsessystem, som er dokumenteret og som efterleves dagligt. Der stilles således store krav til både implementering, drift samt indledende og fortløbende certificeringsproces. Certificeringsprocessen omfatter en fuld gennemgang af alle processer og dokumentation. 

 

En ISAE 3402-erklæring er en revisionserklæring på, at en given organisation efterlever en specifik standard. Der stilles således stadig krav til både dokumentation og daglig drift, men i væsentlig mindre omfang end ved en fuld ISO-certificering. Dette ses også i selve certificeringsprocessen, som for revisionserklæring består af stikprøver og interviews.  

 

Ressourceforbrug (omkostningen) mellem fuld ISO-certificering og revisionserklæring vil i sagens natur variere fra organisation til organisation, afhængig af en række parametre som omfang af scope, modenhed af organisationen ift. IT-sikkerhed, interne ressourcer, kompetencer osv. Som udgangspunkt skal det dog forventes, at ressourcerne (og derved også omkostningen) til fuld ISO-certificering vs. revisionserklæring udgør en faktor 4-5 både – før, under og efter.  

 

Det er desuden vigtigt at være opmærksom på, at den fulde ISO-certificering kun i meget begrænset omfang anvendes i Danmark i dag. Langt oftere ser man anvendelsen af revisionserklæringer. Dette kan ses som et udtryk for, at ”markedet” ofte accepterer disse revisionserklæringer. 

 

Det er således CyberPilots anbefaling og vurdering, at en ISAE 3402 erklæring ofte vil være det rigtige valg for langt de fleste af stræbe imod. Dette skyldes følgende: 

 

  • Meromkostningen før, under og efter en fuld ISO-certificeringsproces forventes at overstige den merværdi, der opnås ved en fuld certificering frem for en revisionserklæring.

     

  • Hvis I senere ønsker at ”opgradere” til den fulde ISO-certificering, vil revisionserklæringen under alle omstændigheder fungerer som et godt udgangspunkt. 

ISO27001 eller ISO27002?

Det er vigtigt at være opmærksom på, at der skelnes mellem hhv. ISO27001 og ISO27002, som reelt er to forskellige standarder. Standarderne er dog meget nært beslægtede og er begge anerkendte til netop det formål at implementere rammer for informationssikkerhed. 

 

Nedenfor vil vi kort beskrive de to standarder og forskellen mellem de to, for derefter at vurdere det bedste valg for ”den typiske danske organisation”. 

 

 

Hvad er ISO27001?

 

ISO27001 definerer rammeværket for processen omkring arbejdet med informationssikkerhed. Standarden ligner andre lignende standarder, som kendes fra f.eks. kvalitetssikring i industrivirksomheder, hvor hovedformålet er, at arbejdet bliver en løbende proces og ikke en engangsforestilling. Der er således fokus på den kontinuerlige proces og løbende forbedringer.  

 

Man kan opsummere ISO27001 som værende en proces, der omfatter følgende faser: Plan, Do, Check og Act 

 

Se figur nedenfor:

PDCA

Den grundlæggende metodik i ISO27001 er, at der anvendes en risikobaseret tilgang. Der stilles således ikke specifikke krav til, at en organisation lever op til krav X, Y, Z etc. Der stilles derimod krav til, at der implementeres passende tekniske og organisatoriske tiltag. Det er således op til den enkelte organisation at vurdere, hvad disse passende tiltag er. Nøglen her er ”risikovurderingen”. 

 

Derudover består ISO27001 af ”Anneks A”, som definerer 18 enkeltvise områder inden for IT-sikkerhed, man bør arbejde med, bl.a..: 

 

  • Etc. 

Anneks A er således en implementeringsguide til ”best practice”-forhold inden for de enkelte områder.  

 

Hvad er ISO27002?

 

ISO27002 består reelt kun af Anneks A fra ISO27001. ”Plan-Do-Check-Act”-delen indgår altså ikke i ISO27002. 

 

Det vil sige, at ISO27002 er fokuseret på de definerede områder og selve implementeringen af tiltag, hvorimod ISO27001 også omfatter retningslinjer til selve processen for arbejdet. 

 

ISO27002 er således mindre omfattende end ISO27001. 

 

ISO27002 stiller, ligesom ISO27001, ikke krav til, at organisationerne opfylder krav X, Y, Z etc. Her skal igen anvendes en risikobaseret metode, hvor der tages stilling til, hvad der er passende for den enkelte organisation.  

ISO27001 vs. ISO27002

 

Eksterne samarbejdspartnere vil typisk ikke have klare holdninger til, om der anvendes ISO27001 eller ISO27002. Ofte anvendes en formulering som f.eks. ”anerkendt ISO-standard inden for informationssikkerhed”. 

 

Det er derfor CyberPilots vurdering og anbefaling, at ofte bør forsøge at arbejde mod at følge ISO27002, da dette er mindre omfattende end ISO27001. Hvis I senere ønsker at udvide til at følge ISO27001, vil arbejdet med ISO27002 tjene som et godt fundament. 

 

ISAE3402 findes som type-1 og type-2

En ISAE 3402-erklæring kan være enten af type1 eller type2. Herunder vil jeg gå gennem de to typer.

  

Hvad er en type-1 erklæring?

 

En type1-erklæring omfatter en gennemgang af dokumentationen, dog uden egentlig kontrol af selve implementeringen. En type-1-erklæring er således udtryk for et øjebliksbillede på en given dato. 

 

Omkostningen til en type-1-erklæring består af to dele: 

 

  • Den interne forberedelse, implementering og dokumentation 

  • Gennemgang, udarbejdelse og løbende vedligeholdelse af erklæring – denne opgave skal varetages af en autoriseret it-revisor. Kan variere fra revisionshus til revisionshus. Estimat: 100.000 dkk 

Hvad er en type-2 erklæring?

 

En type-2-erklæring består af en gennemgang af både dokumentation og kontrol af den faktisk implementering – typisk vil denne kontrol være i form af stikprøver og gennemgang af dokumentation, systemer osv. En type-2-erklæring dækker typisk en periode på 6 eller 12 måneder, og giver således et billede af situationen i hele perioden – på samme vis som et årsregnskab. 

 

En type-2erklæring er således mere omfattende end en type-1. 

 

Omkostningen til type-1-erklæring består af tre dele: 

 

  • Den interne forberedelseimplemetering og dokumentation
  • Det løbende arbejde med at overholde/dokumentere kontrollerne
  • Gennemgang, udarbejdelse og løbende vedligeholdelse af erklæring
  • Kan variere fra revisionshus til revisionshus. Estimat: 150.000-200.000 dkk 

Hvad er forskellen på Type-1 og type-2

 

Eksterne samarbejdspartnere vil typisk stille krav om en revisionserklæring, men det vil ofte ikke være specifikt angivet, hvorvidt denne erklæring skal være af type-1 eller type-2.  

 

Ofte ses det desuden, at man først udarbejder en type-1-erklæring, for derefter at udvide denne til en type-2.  

 

Erfaringen viser, at ved først at arbejde imod en type-1-erklæring og derefter ”opgradere” til type-2, har mulighed for at modne organisationens dokumenter og processer, før man når til type-2-erklæringen. Hvis I derimod går direkte til en type-2-erklæring, risikerer I, at der kommer anmærkninger i revisionserklæringerne, hvis dokumentationen og kontrollerne ikke lever op til revisorkravene, da der jo erklæres inden for en given periode. Ved en type-1-erklæring er der således bedre mulighed for at sætte processen på ”pause”, tilrette dokumentation og processer, og derefter gentage processen. 

 

En anden fordel ved at gå efter en type-1-erklæring først er, at I i løbet af relativt kort tid kan få udarbejdet revisionserklæring. Type-1 stiller ikke krav om, at I kan påvise dokumentationen over en længere periode, som det er tilfældet med en type-2. 

 

En væsentlig del af beslutningen omkring at vælge type-1 vs. type-2 afhænger af den omkostning, som skal allokeres til den eksterne part – revisorDet vil derfor være relevant at afstemme det faktiske omkostningsniveau med netop revisor.  

 

Under alle omstændigheder vil der dog være lavere omkostninger fra revisors side ift. at udarbejde en type-1 vs. type-2-erklæring. 

 

Det er således CyberPilot vurdering og anbefaling, at I i langt de fleste tilfælde først arbejder imod en type-1-erklæring og dernæst udvider til en type2. 

 

Dette giver følgende fordele: 

 

  • Omkostningen for en revisor til en type-1-erklæring er mindre end til en type2 (ca. faktor 1,5-2).
  • I får mulighed for at ”modne organisationens processer og dokumentation og opnå en revisionserklæring uden anmærkninger.
  • I opnår hurtigt en erklæring. Hvis I går efter en type-2, vil det tage en periode på ca. 3-6 måneder, hvor I skal være i drift, inden erklæringen kan udarbejdes.
  • Mange eksterne samarbejdspartnere vil ikke stille specifikt krav til type-2 ift. type-1, og derfor vil I i de fleste tilfælde kunne ”nøjes” med en type-1. 
 

Hvilken form for erklæring bør du arbejde imod?

Jf. ovenstående argumentation, er det CyberPilots vurdering og anbefaling, at du i de fleste tilfælde arbejder imod følgende: 

 

ISAE 3402 erklæring – Type-1 ift.