Overholdelse av ISO-sertifisering: En praktisk guide for B2B

Tekniske krav og verktøy for ISO 27001-overholdelse i skymiljøer

For virksomheter som drifter infrastruktur i skyen – enten på AWS, Microsoft Azure eller Google Cloud – må overholdelse av ISO 27001 reflekteres i selve den tekniske arkitekturen, ikke bare i dokumentasjon og prosesser. Følgende tekniske kontroller er særlig relevante:

Tilgangskontroll og identitetsstyring

ISO 27001 krever streng kontroll over hvem som har tilgang til hvilke systemer og data. I praksis innebærer dette bruk av IAM-rammeverk (Identity and Access Management) med prinsippet om laveste privilegium, multifaktorautentisering (MFA) og regelmessige tilgangsgjennomganger. I AWS-miljøer håndteres dette gjennom AWS IAM og AWS Organizations, mens Azure benytter Entra ID (tidligere Azure AD) med Conditional Access-policyer.

Overvåkning, logging og hendelseshåndtering

Kontinuerlig overvåkning er et kjernekrav i ISO 27001 Annex A. Relevante verktøy inkluderer:

• AWS GuardDuty – automatisk trusseldeteksjon basert på maskinlæring i AWS-miljøer
• Microsoft Sentinel – SIEM/SOAR-plattform for hendelseskorrelasjon og automatisert respons
• AWS CloudTrail og AWS Config – full revisjonsspor for API-kall og konfigurasjonsdrift
• Google Cloud Security Command Center – sentralisert sikkerhetsposisjonsstyring i GCP

Infrastruktur som kode og konfigurasjonsstyring

For å sikre at sikkerhetskontroller faktisk er implementert og ikke kun dokumentert, bør all infrastruktur defineres som kode. Terraform er industristandarden for dette og gir sporbarhet, konsistens og muligheten til å kjøre automatiske samsvarskontroller mot definerte policyer (eksempelvis via Open Policy Agent eller AWS Config Rules). Endringer i infrastruktur som avviker fra godkjent baseline blir dermed fanget opp umiddelbart.

Sikkerhetskopiering og gjenoppretting

ISO 27001 stiller eksplisitte krav til dataintegritet og tilgjengelighet. I Kubernetes-baserte miljøer er Velero et utbredt verktøy for sikkerhetskopiering av klyngeressurser og persistente volumer, og det støtter automatiserte, krypterte sikkerhetskopier til objektlagring som S3 eller Azure Blob Storage.

Vanlige fallgruver ved overholdelse av ISO-sertifisering

Mange virksomheter klarer den første sertifiseringen, men sliter med den løpende overholdelsen. De vanligste fallgruvene er:

• Dokumentasjon som ikke gjenspeiler virkeligheten: Prosedyrer og policyer skrives én gang og oppdateres aldri, men den faktiske praksisen endres over tid. Revisor oppdager avviket under neste gjennomgang.
• Manglende intern forankring: ISO-arbeidet delegeres til én person eller én avdeling uten tilstrekkelig ledelsesengasjement. Standardene krever eksplisitt at toppledelsen tar eierskap.
• Tekniske kontroller uten prosesser: Et SIEM-system er installert, men ingen har definert hva som skal skje når en alarm utløses. Teknologien er på plass, men styringssystemet mangler.
• Skygge-IT og manglende leverandørstyring: ISO 27001 krever at risikoen fra tredjepartsleverandører vurderes og kontrolleres. SaaS-verktøy tatt i bruk uten IT-godkjenning skaper blinde flekker i risikobildete.
• Utilstrekkelig håndtering av avvik: Avvik identifiseres, men korrigerende tiltak lukkes på papiret uten at den underliggende årsaken adresseres. Dette er et gjengangerproblem ved resertifiseringsrevisjoner.
• Konfigurasjonsdrift i skymiljøer: Uten automatisert overvåkning vil skyressurser over tid avvike fra godkjent sikkerhetskonfigurasjon, noe som direkte bryter med ISO 27001-kravene til teknisk kontroll.

Regulatorisk kontekst: NIS2, NSM og Datatilsynet

For norske virksomheter er ISO-overholdelse i stadig større grad sammenvevd med de regulatoriske forpliktelsene som følger av norsk og europeisk lovgivning. NIS2-direktivet, som stiller krav til sikkerhetstiltak og hendelsesrapportering for virksomheter i kritisk infrastruktur og digitale tjenester, overlapper i stor grad med ISO 27001-kravene. Virksomheter som allerede er sertifisert etter ISO 27001, vil ha et godt utgangspunkt for NIS2-etterlevelse, men det kreves likevel en bevisst kartlegging av gapene.

Datatilsynet fører tilsyn med etterlevelse av personvernforordningen (GDPR), og ISO 27001 gir et strukturert rammeverk for å demonstrere «egnet teknisk og organisatorisk sikkerhet» etter GDPR artikkel 32. NSM anbefaler i sine IKT-sikkerhetsprinsipper tiltak som direkte korresponderer med Annex A-kontrollene i ISO 27001, inkludert nettverkssegmentering, tilgangskontroll og hendelseshåndtering.

En helhetlig tilnærming til overholdelse bør derfor kartlegge hvilke kontroller som dekker krav på tvers av ISO 27001, NIS2 og GDPR – og unngå å behandle disse som separate siloer med duplisert dokumentasjon og innsats.

Slik støtter Opsio virksomheter med ISO-overholdelse

Opsio er en skyspesialist med kontor i Karlstad (Sverige) og et leveransesenter i Bangalore (India). Selskapet er selv sertifisert etter ISO 27001 ved Bangalore-kontoret, noe som understreker at informasjonssikkerhet er operasjonalisert i leveransemodellen – ikke bare kommunisert som en intensjon.

For kunder som ønsker støtte til ISO-overholdelse, særlig ISO 27001 i skymiljøer, tilbyr Opsio følgende konkrete kapabiliteter:

• Infrastruktur som kode: Alle skyressurser provisjoneres og vedlikeholdes via Terraform med innebygde sikkerhets- og samsvarspolicyer, noe som eliminerer konfigurasjonsdrift og sikrer sporbarhet.
• Kontinuerlig overvåkning: Opsio drifter et 24/7 NOC (Network Operations Center) og benytter verktøy som AWS GuardDuty, Microsoft Sentinel og AWS Config for løpende deteksjon av avvik fra sikkerhetskonfigurasjonen.
• Kubernetes-ekspertise: Med CKA/CKAD-sertifiserte ingeniører og erfaring med Velero-basert sikkerhetskopiering sikres tilgjengelighets- og integritetskravene i ISO 27001 i containerbaserte miljøer.
• Sertifiserte partnerskap: Som AWS Advanced Tier Services Partner med AWS Migration Competency, Microsoft Partner og Google Cloud Partner har Opsio direkte tilgang til plattformenes sikkerhetsverktøy og beste praksis på tvers av de tre store skyleverandørene.
• Erfaring i skala: Med over 3 000 gjennomførte prosjekter siden 2022 og mer enn 50 sertifiserte ingeniører har Opsio bred erfaring med å omsette ISO-krav til konkrete tekniske kontroller i produksjonsmiljøer.
• 99,9 % oppetid SLA: Tilgjengelighet er et eksplisitt krav i ISO 27001. Opsios SLA på 99,9 % oppetid er dokumentert og kontraktsforpliktet, ikke en markedsføringspåstand.

Det er viktig å presisere at Opsio ikke tilbyr ISO 9001-sertifisering eller SOC 2-attestasjon som egne sertifikater, men bistår kunder med å bygge de tekniske og operasjonelle kontrollene som kreves for at kundens virksomhet skal oppnå og opprettholde slike sertifiseringer. Skillet mellom å ha en sertifisering og å hjelpe kunder med overholdelse er vesentlig – og Opsios verdi ligger i det siste.

For norske virksomheter som møter krav fra Datatilsynet, NSM eller NIS2, og som ønsker å bygge en teknisk grunnmur som tåler ekstern revisjon, er en strukturert tilnærming til ISO-overholdelse det mest effektive startpunktet. Opsio kan bistå med arkitekturvurdering, gap-analyse mot ISO 27001 og løpende teknisk drift som sikrer at overholdelsen er reell – ikke bare dokumentert.