Description of Image.



Vores blog

Tag på tur med Thomas Tog
Ny 2017 udgave af DS/ISO/IEC 27001
Typiske trusler mod informationssikkerheden

Om 27000

Der er ikke mindre end 9 standarder i ISO/IEC 27000-serien

Under "Krav" her på 27001universitetet.dk finder du en oversigt over de 9 standarder i serien: 1) Ordliste, 2) Krav, 3) Vejledning i indholdet og brugen af it-kontrollerne, 4) Yderligere vejledning i brugen af kravstandarden, 5) Risikovurdering, 6) Monitorering, måling, analyse og evaluering, 7) Akkreditering af certificeringsorganer, 8) Intern audit og 9) Intern audit af it-kontroller.

Kravstandarden

Kravene til et informationssikkerhedsledelsessystem (ISMS) står beskrevet i DS/EN ISO/IEC 27001:2017. Derfor skal man umiddelbart tage afsæt i dette dokument, når man skal udvikle sit ISMS. Det er bygget op efter High Level Structure (HLS) og "ligner" derfor på mange måder ISO 9001, ISO 14001 m.fl.
De øvrige 8 dokumenter i serien er hjælpedokumenter, men navnlig ISO/IEC 27002 kan være svær at undvære, hvis man skal forstå, hvad it-kontrollerne i 27001, Anneks A, dækker over.
Under "Artikler" finder du en længere artikel med en række illustrationer, som på et overordnet plan beskriver indholdet i kravene i ISO/IEC 27001 og den tankegang, der ligger bag.

Når man nu har taget proppen af flasken …

Selvfølgelig kan man lave og indføre et rent ISMS, der kun handler om at skabe den nødvendige informationssikkerhed, men starter man fra scratch vil det for de fleste virksomheder være en bedre strategi at lave et ledelsessystem, der som minimum kombinerer kravene i ISO 9001 og ISO/IEC 27001. Det er der flere grunde til:
  1. Det er næsten samme arbejde at lave et kombineret system sammenlignet med et stand-alone-system. (Lidt hurtigt sagt, men man vil ikke føle, at ekstraarbejdet med tillæg af de specifikke ISO 9001-krav vil trække harmonikabælgen ret meget længere ud, hverken økonomisk eller tidsmæssigt).
  2. Næsten samme betragtning vedrørende erhvervelsen af to akkrediterede certifikater kontra kun ét. Der kan være noget med, at kompetencerne ikke altid kan dækkes af kun én auditor, men principielt er det i hvert fald ikke dobbelt op med hensyn til certificeringsorganets tidsanvendelse.
  3. Det giver mere mening at diskutere informationssikkerhed, når man har fuldstændigt styr på de ledelses- og forretningsprocesser, som informationssikkerheden skal understøtte. Det giver et mere holistisk billede af virkeligheden, når kravene fra minimum de to nævnte standarder kombineres.