COMPLIANCE · ISO27001
ISO 27001:2022 + 27701:2019
Informasjonssikkerhets- og personvernsledelsessystem.
Status
Digilist har implementert ISO 27001:2022 Annex A-kontrollene. Sertifisering er planlagt Q3 2026 av akkreditert sertifiseringsorgan (Nemko).
Statement of Applicability
| Kontroll-kategori | Antall kontroller | Status |
|---|---|---|
| A.5 Organisatoriske | 37 | Implementert |
| A.6 Personell | 8 | Implementert |
| A.7 Fysisk | 14 | Implementert (cloud-modus) |
| A.8 Teknologisk | 34 | Implementert |
| Totalt | 93 | 93/93 implementert |
Full SoA tilgjengelig under NDA ved forespørsel.
Sentrale kontroller
| Kontroll | Implementasjon |
|---|---|
| A.5.1 Policy for informasjonssikkerhet | ISMS-håndbok, revideres årlig |
| A.5.7 Trusselbilde | Månedlig review, NSM + CERT.no-feeds |
| A.5.23 Skytjenester | Begrenset til EU-leverandører, DPA per leverandør |
| A.8.2 Privilegert tilgang | RBAC + step-up auth for admin-handlinger |
| A.8.5 Sikker autentisering | ID-porten OIDC, BankID, magic-link med signert JWT |
| A.8.16 Logging og overvåking | Audit-log i agent_actions-tabell, Sentry, journalctl |
| A.8.25 Sikker utvikling | Pre-commit pre-push hooks, Snyk SAST, kodegjennomgang for hver PR |
| A.8.28 Sikker koding | Semgrep + CodeQL, OWASP Top 10-trening årlig |
ISO 27701 (PIMS) {#27701}
Tillegget til 27001 som dekker personopplysninger. Vi har implementert:
- Rolle — Vi er PII-prosessor, kommunene er PII-controllers
- A.7 Prosessor-spesifikk — alle 31 kontroller implementert
- Records of Processing Activities — ROPA i Confluence, oppdatert per release
- PIA — gjennomført for hver ny dataflyt før produksjon
Audit-trail
- Interne audits: kvartalsvis
- Management review: halvårlig
- Eksterne audits: årlig fra Q3 2026
Funn lagres i tools/site-intelligence/ + tools/content-agent/ databasene med full sporbarhet.