Certificering i it-sikkerhed for organisationer: Revisionserklæring (ISAE3402) eller ISO-certificering?

Indledning

Mange organisationer oplever at der bliver stillet krav til deres arbejde med it-sikkerhed. Det er ofte fra eksterne samarbejdspartnere eller kunder, som ”kræver” at jeres organisation kan leve op til kravene eller er certificeret i ”ISO27001” eller lignende. 

 

Formålet med denne blog er at afdække forskellige muligheder for certificering inden for IT-sikkerhed. Dernæst er det formålet at skabe et overblik over de opgaver, som er forbundet med etablering af en it-sikkerhedscertificering. 

 

Sidst men ikke mindst er det formålet vise de videre skridt imod implementering og egentlig udarbejdelse af certificering. 

 

Afdækning af forskellige typer for certificering omhandler følgende: 

 

  • ISO-certificering eller revisionserklæring (ISAE 3402 erklæring)?

  • Type-1 eller type-2 (ift. revisionserklæring)? 

  • Anvendt standard: ISO27001 eller ISO27002? 

 

En ”typisk køreplan” for at etablere en revisionserklæring: 

 

  • Afstemning af revisionserklæringsomfang med udvalgte kunder og samarbejdspartnere.

  • Formålet er at sikre, at disse samarbejdspartnere accepterer det tiltænkte erklæringsniveau.

  • Indled dialog med revision for at få estimeret omkostningsniveau for deres udarbejdelse af revisionserklæring

  • Endelig intern beslutning omkring valg af revisionserklæringstype og valg af standard 

  • Udarbejdelse af dokumentation, herunder IT-sikkerhedspolitik, IT-sikkerhedshåndbog og relevante retningslinjer og politikker 

  • Aftale med revision omkring udarbejdelse af revisionserklæring 

  • Implementering af nye tiltag/processer 

  • Udarbejdelse af selve revisionserklæring (type-1) 

  • Drift af det nye ledelsessystem i 6-12 måneder 

  • Evt. udarbejdelse af revisionserklæring (type-2) 

Indhold

  1. Indledning
  2. Hvorfor arbejde med certificering som ISO27001 eller ISAE 3402 revisionserklæringer?
  3. Certificering, erklæring eller ej?
  4. ISO-certificering eller ISAE 3402 revisionserklæringer?
  5. ISO27001 eller ISO27002?
  6. Hvad er ISO27001?
  7. Hvad er ISO27002?
  8. ISO27001 vs. ISO27002?
  9. Type-1 vs. type-2?
  10. Hvilken form for erklæring bør du arbejde med?
  11. Forventede opgaver
  12. Opgaver forbundet med at etablere ISAE 3402 erklæring – type 1 ift. ISO27002
  13. Forventede ekstraopgave for at udvide fra type-1 til type-2 erklæring
  14. Forventede esktraopgave for at udvide fra ISO27002 til ISO27001
  15. Hvordan ser en projektplan for en organisation der vil være certificeret i IT-sikkerhed ud?​​

Hvorfor arbejde med certificering som ISO27001 eller ISAE 3402 revisionserklæringer?

Det overordnede formål med denne blog er at skabe et overblik omkring at opnå certificering eller revisionserklæring op imod ISO27001/2.  

 

Baggrunden for at udarbejde dette notat er, at vi her hos CyberPilot i stigende omfang oplever, at vores kunder bliver mødt af eksterne samarbejdspartneres og klienters krav til deres IT-sikkerhed og specifikt spørger til certificering eller revisionserklæring på området. 

 

Denne blog vil hjælpe dig til at forstå forskellene imellem de forskellige certificeringer og erklæringer. Det kan hjælpe dig til at forstå om I skal arbejde mod certificering elle ej. Derudover vil du være i stand til at planlægge jeres egen proces, hvis det er relevant for jer. 

 

Disse certificeringer og erklæringer er en måde at vise overfor eksterne partnere, at I lever op til god praksis indenfor IT-sikkerhed og at ”I har styr på jeres ting”. 

 

Nogle gange bliver erklæringerne brugt i markedsføringen og andre er det helt konkrete krav fremsat af samarbejdspartnere, som gør det nødvendigt at arbejde med. Det kan f.eks. være i databehandleraftaler eller lignende. 

 

Det er et komplekst område, hvor det er nødvendigt at være helt skarp på de forskellige definitioner og forhold for at kunne tage den rette beslutning. 

 

Hvor skal I starte, hvis I som organisation vil certificeres i IT-sikkerhed – f.eks. ISO27001?

Inden selve arbejdet mod en certificering eller revisionserklæring sættes i gang, er der først og fremmest et behov for at afstemme det præcise omfang, hvilket kan brydes ned i følgende parametre: 

 

  • Certificering eller ej?

  • Hvilken type certificering skal I arbejde imod? 

  • ISO-certificering eller en ISAE 3402-revisionserklæring?
     
  • ISO27001 eller ISO27002?

  • Type-1 eller type-2-erklæring (dvs. uden eller med kontroller)? 

  • Anbefalinger ift. certificering/erklæring, ISO27001/2 og type-1/2. 

  • Hvad er de forventede opgaver for de forskellige typer certificeringer/erklæringer? 
 
 

Certificering, erklæring eller ej?

Det første step er naturligvis at afklare om det overhovedet er en prioritet for jeres organisation at blive certificeret eller få en revisionserklæring eller ej?  

 

Baggrunden for at blive certificeret er ofte en af følgende: 

 

  • Lovkrav 

  • Krav fra eksterne samarbejdspartnere (ofte kunder) 

  • Krav fra bestyrelse/ejere 
 

 

Arbejdet med at blive certificeret eller få etableret en revisionserklæring kræver ressourcer og derfor er det vigtigt, at I har afdækket det faktiske behov inden I går i gang.  

 

Det er dog vores erfaring, at processen imod en certificering/erklæring ofte er en rigtig sund proces for de fleste organisationer, da det tvinger dem til at overveje alle relevante aspekter af deres egen it-sikkerhed. Det betyder ofte, at I bliver opmærksom på forhold, som I normalt ikke ville få adresseret uden kravet om certificering/erklæring, men som skabet værdi for jeres organisationen på den lange bane. 

 

ISO-certificering eller ISAE 3402-revisionserklæring?

Som det næste bør det afklares, hvorvidt der er behov for en fuld ISO-certificering eller om I kan ”nøjes” med den mere simple (og mindre omkostningstunge) revisionserklæring. 

 

En fuld ISO-certificering stiller krav til et fuldt implementeret ledelsessystem, som er dokumenteret og som efterleves dagligt. Der stilles således store krav til både implementering, drift samt indledende og fortløbende certificeringsproces. Certificeringsprocessen omfatter en fuld gennemgang af alle processer og dokumentation. 

 

En ISAE 3402-erklæring er en revisionserklæring på, at en given organisation efterlever en specifik standard. Der stilles således stadig krav til både dokumentation og daglig drift, men i væsentlig mindre omfang end ved en fuld ISO-certificering. Dette ses også i selve certificeringsprocessen, som for revisionserklæring består af stikprøver og interviews.  

 

Ressourceforbrug (omkostningen) mellem fuld ISO-certificering og revisionserklæring vil i sagens natur variere fra organisation til organisation, afhængig af en række parametre som omfang af scope, modenhed af organisationen ift. IT-sikkerhed, interne ressourcer, kompetencer osv. Som udgangspunkt skal det dog forventes, at ressourcerne (og derved også omkostningen) til fuld ISO-certificering vs. revisionserklæring udgør en faktor 4-5 både – før, under og efter.  

 

Det er desuden vigtigt at være opmærksom på, at den fulde ISO-certificering kun i meget begrænset omfang anvendes i Danmark i dag. Langt oftere ser man anvendelsen af revisionserklæringer. Dette kan ses som et udtryk for, at ”markedet” ofte accepterer disse revisionserklæringer. 

 

Det er således CyberPilots anbefaling og vurdering, at en ISAE 3402 erklæring ofte vil være det rigtige valg for langt de fleste af stræbe imod. Dette skyldes følgende: 

 

  • Meromkostningen før, under og efter en fuld ISO-certificeringsproces forventes at overstige den merværdi, der opnås ved en fuld certificering frem for en revisionserklæring. 

  • Hvis I senere ønsker at ”opgradere” til den fulde ISO-certificering, vil revisionserklæringen under alle omstændigheder fungerer som et godt udgangspunkt. 

ISO27001 eller ISO27002?

Det er vigtigt at være opmærksom på, at der skelnes mellem hhv. ISO27001 og ISO27002, som reelt er to forskellige standarder. Standarderne er dog meget nært beslægtede og er begge anerkendte til netop det formål at implementere rammer for informationssikkerhed. 

 

Nedenfor vil vi kort beskrive de to standarder og forskellen mellem de to, for derefter at vurdere det bedste valg for ”den typiske danske organisation”. 

 

 

 

Hvad er ISO27001? 

 

ISO27001 definerer rammeværket for processen omkring arbejdet med informationssikkerhed. Standarden ligner andre lignende standarder, som kendes fra f.eks. kvalitetssikring i industrivirksomheder, hvor hovedformålet er, at arbejdet bliver en løbende proces og ikke en engangsforestilling. Der er således fokus på den kontinuerlige proces og løbende forbedringer.  

 

Man kan opsummere ISO27001 som værende en proces, der omfatter følgende faser: Plan, Do, Check og Act 

 

Se figur nedenfor:

Den grundlæggende metodik i ISO27001 er, at der anvendes en risikobaseret tilgang. Der stilles således ikke specifikke krav til, at en organisation lever op til krav X, Y, Z etc. Der stilles derimod krav til, at der implementeres passende tekniske og organisatoriske tiltag. Det er således op til den enkelte organisation at vurdere, hvad disse passende tiltag er. Nøglen her er ”risikovurderingen”. 

 

Derudover består ISO27001 af ”Anneks A”, som definerer 18 enkeltvise områder inden for IT-sikkerhed, man bør arbejde med, bl.a..: 

 

  • Etc. 

Anneks A er således en implementeringsguide til ”best practice”-forhold inden for de enkelte områder.  

 

 Hvad er ISO27002? 

 

ISO27002 består reelt kun af Anneks A fra ISO27001. ”Plan-Do-Check-Act”-delen indgår altså ikke i ISO27002. 

 

Det vil sige, at ISO27002 er fokuseret på de definerede områder og selve implementeringen af tiltag, hvorimod ISO27001 også omfatter retningslinjer til selve processen for arbejdet. 

 

ISO27002 er således mindre omfattende end ISO27001. 

 

ISO27002 stiller, ligesom ISO27001, ikke krav til, at organisationerne opfylder krav X, Y, Z etc. Her skal igen anvendes en risikobaseret metode, hvor der tages stilling til, hvad der er passende for den enkelte organisation.  

ISO27001 vs. ISO27002? 

 

Eksterne samarbejdspartnere vil typisk ikke have klare holdninger til, om der anvendes ISO27001 eller ISO27002. Ofte anvendes en formulering som f.eks. ”anerkendt ISO-standard inden for informationssikkerhed”. 

 

Det er derfor CyberPilots vurdering og anbefaling, at ofte bør forsøge at arbejde mod at følge ISO27002, da dette er mindre omfattende end ISO27001. Hvis I senere ønsker at udvide til at følge ISO27001, vil arbejdet med ISO27002 tjene som et godt fundament. 

 

Type-1 eller type-2?

En ISAE 3402-erklæring kan være enten af type1 eller type2.  

 

Hvad er en type-1-erklæring? 

 

En type1-erklæring omfatter en gennemgang af dokumentationen, dog uden egentlig kontrol af selve implementeringen. En type-1-erklæring er således udtryk for et øjebliksbillede på en given dato. 

 

Omkostningen til en type-1-erklæring består af to dele: 

 

  • Den interne forberedelse, implementering og dokumentation 

  • Gennemgang, udarbejdelse og løbende vedligeholdelse af erklæring – denne opgave skal varetages af en autoriseret it-revisor. 

  • Kan variere fra revisionshus til revisionshus. Estimat: 100.000 dkk 

 

Hvad er en type-2-erklæring? 

 

En type-2-erklæring består af en gennemgang af både dokumentation og kontrol af den faktisk implementering – typisk vil denne kontrol være i form af stikprøver og gennemgang af dokumentation, systemer osv. En type-2-erklæring dækker typisk en periode på 6 eller 12 måneder, og giver således et billede af situationen i hele perioden – på samme vis som et årsregnskab. 

 

En type-2erklæring er således mere omfattende end en type-1. 

 

Omkostningen til type-1-erklæring består af tre dele: 

 

  • Den interne forberedelseimplemetering og dokumentation 

  • Det løbende arbejde med at overholde/dokumentere kontrollerne 

  • Gennemgang, udarbejdelse og løbende vedligeholdelse af erklæring 

  • Kan variere fra revisionshus til revisionshus. Estimat: 150.000-200.000 dkk 
 

 

Type-1 vs. type-2? 

 

Eksterne samarbejdspartnere vil typisk stille krav om en revisionserklæring, men det vil ofte ikke være specifikt angivet, hvorvidt denne erklæring skal være af type-1 eller type-2.  

 

Ofte ses det desuden, at man først udarbejder en type-1-erklæring, for derefter at udvide denne til en type-2.  

 

Erfaringen viser, at ved først at arbejde imod en type-1-erklæring og derefter ”opgradere” til type-2, har mulighed for at modne organisationens dokumenter og processer, før man når til type-2-erklæringen. Hvis I derimod går direkte til en type-2-erklæring, risikerer I, at der kommer anmærkninger i revisionserklæringerne, hvis dokumentationen og kontrollerne ikke lever op til revisorkravene, da der jo erklæres inden for en given periode. Ved en type-1-erklæring er der således bedre mulighed for at sætte processen på ”pause”, tilrette dokumentation og processer, og derefter gentage processen. 

 

En anden fordel ved at gå efter en type-1-erklæring først er, at I i løbet af relativt kort tid kan få udarbejdet revisionserklæring. Type-1 stiller ikke krav om, at I kan påvise dokumentationen over en længere periode, som det er tilfældet med en type-2. 

 

En væsentlig del af beslutningen omkring at vælge type-1 vs. type-2 afhænger af den omkostning, som skal allokeres til den eksterne part – revisorDet vil derfor være relevant at afstemme det faktiske omkostningsniveau med netop revisor.  

 

Under alle omstændigheder vil der dog være lavere omkostninger fra revisors side ift. at udarbejde en type-1 vs. type-2-erklæring. 

 

Det er således CyberPilot vurdering og anbefaling, at I i langt de fleste tilfælde først arbejder imod en type-1-erklæring og dernæst udvider til en type2. 

 

Dette giver følgende fordele: 

 

  • Omkostningen for en revisor til en type-1-erklæring er mindre end til en type2 (ca. faktor 1,5-2). 

  • I får mulighed for at ”modne organisationens processer og dokumentation og opnå en revisionserklæring uden anmærkninger. 

  • I opnår hurtigt en erklæring. Hvis I går efter en type-2, vil det tage en periode på ca. 3-6 måneder, hvor I skal være i drift, inden erklæringen kan udarbejdes. 

  • Mange eksterne samarbejdspartnere vil ikke stille specifikt krav til type-2 ift. type-1, og derfor vil I i de fleste tilfælde kunne ”nøjes” med en type-1. 
 

Hvilken form for erklæring bør du arbejde imod?

Jf. ovenstående argumentation, er det CyberPilots vurdering og anbefaling, at du i de fleste tilfælde arbejder imod følgende: 

 

ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

Dette vil efter vores vurdering være tilstrækkeligt over for langt de fleste kunder og samarbejdspartnere. I tilfælde, hvor der stilles strengere krav, vil det sandsynligvis være noget, som kan forhandles. 

 

Det anbefales ALTID, at du tager kontakt til de kunder og samarbejdspartnere, som stiller krav og afstemmer, inden du går i gang med selve arbejdet med erklæringen. 

 

 

Hvad er de forventede opgaver?

Enhver beslutning omkring udarbejdelse af certificeringer eller revisionserklæringer skal naturligvis afvejes ift. de opgaver, som det medfører. Kun igennem et indblik i de forbundne opgaver, kan beslutninger omkring et bestemt certificerings/erklæringsniveau tages. 

 

Som nævnt ovenfor, kan det være vanskeligt at redegøre præcis hvilke opgvaer, der er forbundet med at implementere, vedligeholde og opretholde certificeringen/erklæringen, da det vil være forskelligt fra organisation til organisation. 

 

Vi vil dog forsøge at give et bud ud fra den typiske situation. 

 

Estimatet vil tage udgangspunkt i det erklæringsniveau (som også er det anbefalede for de fleste organisationer, som tager hul på denne opgave):  

 

ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

Herefter vil det blive estimeret hvilke opgaver, der er forbundet med ”opgraderingen” til hhv. type-2 og ISO27001. 

 

 

 

 

Opgaver forbundet at etablere ISAE 3402 erklæring – Type-1 ift. ISO27002 

 

En erklæring vil typisk tage udgangspunkt i følgende dokumenter, som skal udarbejdes og gennemgås af revisor: 

 

  • Overordnet IT-sikkerhedspolitik (statement fra ledelsen), som indeholder målsætninger og ansvar.

     

  • Dokumentation af risikovurdering – dokumentation af, at denne proces er gennemført og godkendt af ledelsen.

     

  • IT-sikkerhedshåndbog, som beskriver overordnet proces og tiltag (ikke på procedure-niveau). Håndbogen følger kapitlerne i ISO27002. IT-sikkerhedshåndbogen er således dokumentation af de tiltag, som er implementeret for at håndtere informationssikkerheden. Det er et dokument til anvendelse i IT-afdelingen og til revisionen, ikke til den generelle medarbejderstab.

     

  • Diverse politikker, retningslinjer og procedurer inden for de specifikke kapitler i IT-sikkerhedshåndbogen – f.eks. en beredskabsplan, retningslinjer for medarbejdere osv.  
 
 

 

Det er således denne dokumentation, der skal være på plads, inden selve erklæringen kan udarbejdes af revisorDette er i stor udstrækning samme dokumentation, uanset om I vælger type-1 eller type-2. 

 

Gennem for-analyse og risikovurdering af de eksisterende tiltag og modenhed af jeres informationssikkerhed (som kan gennemføres gennem workshops), er det muligt at estimere en væsentlig del af de forventede omkostninger for netop jeres projekt.  

 

Da ISO27002 netop tager udgangspunkt i en risikobaseret tilgang, vil det endvidere være relevant at se på konklusionerne fra risikovurderingen, og vurdere hvilke nye indsatser, der skal implementeres for at nå et acceptabelt risikoniveau. 

 

 

  Forventede ekstraopgave for at udvide fra type-1 til type-2-erklæring 

 

Ekstraopgaver: 

 

  • Forarbejde: tilrettelæggelse og beskrivelse af kontroller

     

  • Løbende kontrol og dokumentation af aktiviteter (intern tid skal allokeres).

     

  • Omkostning til revisionserklæring – estimat: faktor 1,5 til 2 ift. type-1.
     

Der skal således forventes en væsentlig yderligere tid til opgaverbåde ift. forarbejde, løbende kontroller og en udvidet omkostning til revisor. Det skal desuden noteres, at der er risiko for, at revisor vil have indvending imod de implementerede kontroller, hvilket kan give anmærkninger i revisionserklæringen. 

 

Det anbefales dog, at I allerede ved etablering af samarbejdet omkring type-1-erklæringen indleder dialogen omkring fremtidigt ønske, om at få udarbejdet en type-2-erklæring.  

 

Igennem arbejdet med type-1-erklæringen vil det blive mere tydeligt hvilke yderligere tiltag og kontroller, der skal implementeres for at kunne opnå en type-2-erklæring. Revisor vil også have et bedre udgangspunkt for at estimere tidsforbrug. Ved at tage en trinvis tilgang kan I ofte reducere omkostningen til revisor væsentligt. 

 

 

 

  Forventet ekstraopgaver for at udvide fra ISO27002 til ISO27001 

 

Forskellen mellem ISO27001 og ISO27002 ligger som beskrevet i dokumentationen og etableringen af selve ledelsessystemet opdelt i de fire faser: Plan, Do, Check og Act. Det er denne del, der skal implementeres og driftes for at gå fra ISO27002 til ISO27001. Det er således kapitel 4-10 i ISO27001-standarden, som skal inkluderes i organisationens ledelsessystem for informationssikkerhed.  

 

Opgaverne forbundet med at etablere denne proces ligger delvist i dokumentationen og tilrettelæggelse af de interne processer for de fire faser, og delvist i den interne tid, som skal bruges til at implementere og gennemføre processerne. 

 

Den reelle forskel ligger i faserne check og act”. Her stiller ISO27001 krav til, at der skal implementeres en kontinuerlig proces for at opstille målsætninger for de enkelte tiltag, tjekke om disse tiltag er effektive, og løbende justere, hvis resultaterne afviger fra målsætningerne. 

 

Da rammerne for ISO27001 har et større omfang end ISO27002, kan det forventes, at revisionsomkostningerne vil være tilsvarende højere, da revisor også skal gennemgå og revidere dokumentationen fra kapitel 4-10 som en del af revisionserklæringen.  

 

Ekstraopgaver: 

 

  • Forarbejde: Dokumentation og beskrivelse af processer omfattet i kapitel 4-10 i ISO27001-standarden 

     

  • Implementering og gennemførelse af processerne forbundet med de fire faser

     

  • Revisionserklæring – bør afstemmes med revisor. 

 

Det er primært den ekstra interne tid, som forventes at udgøre forskellen mellem fra ISO27002 til ISO27001. 

 

Der kan på samme måde som ved type-1 vs. type-2 være en fordel i at udvide rammerne trinvist. Kravet til modenheden i organisationen er større ved ISO27001 end ISO27002, og derfor kan det være relevant at udvide i takt med at organisationen modnes. 

Hvordan ser en projektplan ud for en organisation der vil være en certificeret i IT-sikkerhed ud?

Nedenfor er en liste over de næste steps, som en ”typisk dansk organisation” bør arbejde på, for at komme videre med et sådant projekt: 

 

  • Afstemning af revisionserklæringsomfang med udvalgte kunder og samarbejdspartnere. Formålet er således at sikre at disse samarbejdspartnere acceptere det valgte certificeringsniveau – ofte anbefales det at starte med en ISAE 3402-erklæring type-1 op imod ISO27002 
  • Indled dialog med en revisor for at få estimeret omkostningsniveau for deres udarbejdelse af revisionserklæring 
  • Endelig intern beslutning omkring valg er revisionserklæringstype og valg af standard 
  • Udarbejdelse af dokumentation, herunder IT-sikkerhedspolitik, IT-sikkerhedshåndbog og relevante retningslinjer og politikker 
  • Aftale med revision omkring udarbejdelse af revisionserklæring 
  • Implementering af nye tiltag/processer 
  • Udarbejdelse af selve revisionserklæring (type-1) 
  • Drift af det nye ledelsessystem i 6-12 måneder  
  • Evt. udarbejdelse af revisionserklæring (type-2)  

Hos CyberPilot har vi hjulpet virksomheder og organisationer med at komme igennem ovenstående steps. Derudover tilbyder vi services til organisationer, som allerede er certificeret, og som ønsker at få håndteret diverse opgaver for at fastholde deres certificering. Det kunne f.eks. være: 

 

 

Hvis du har sprøgsmål til jeres proces omkring certificering i IT-sikkerhed, så kontakt mig endelig. Så skal jeg gøre hvad jeg kan for at hjælp dig på rette vej. 

 

Rasmus Hangaard Vinge
email: rhv@cyberpilot.dk
tlf: 31120678

Få beskeder når vi udgiver artikler