27001universitetet.dk - Bloggen
DS/ISO/IEC 27001:2013 er blevet afløst af DS/EN ISO/IEC 27001:2017 | ||
Af Torben Abildgaard Pedersen | 2017-07-18 | |
Hvad er der sket? Faktisk er standarden fra 2013 med krav til informationssikkerhedsledelsessystemer blevet afløst af en ny 2017-udgave, fordi to rettelsesblade Cor 1:2014 og Cor 2:2015 er blevet indarbejdet i standarden. Tilpasningen er foretaget af Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Security techniques. Hvad er begrundelsen for, at der er kommet en ny standard? Det er mere brugervenligt, når alle krav er samlet og beskrevet fyldestgørende uden fejl og mangler i ét dokument. Derfor er sammenskrivningen foretaget. Hvori består ændringerne? De to sproglige opstramninger fører til, at tendens til uklarhed er blevet afhjulpet på to områder:
I standardiseringsverdenen udgiver man kun rettelsesblade ved siden af og uafhængigt af det løbende, ganske krævende revisionsarbejde vedrørende hoveddokumentet, når det anses for nødvendigt for standardens rette brug og udnyttelse, og når det i henseende til ændringernes art og omfang lader sig gøre isoleret at udgive rettelsesbladene isoleret fra dokumentets øvrige dele, uden at det vil medføre, uden at det kompromitterer hoveddokumentets hørings- og godkendelsesmæssige status. En anden grund til, at man er forsigtig med at udgive rettelsesblade til gældende ledelsessystemstandarder er, at hvis præcisering af kravene reelt repræsenterer substantielle ændringer, bør brugerne af informationssikkerhedsledelsessystemer naturligvis indrømmes en rimelig overgangsperiode, inden en hidtil gældende standard tilbagetrækkes. Hvorfor og hvordan arbejder man med rettelsesblade i standardiseringsverdenen? Inden for sektorer, hvor man arbejder med digitaliseret økonomi, e-handel, er et ISMS afgørende for, at organisationen vil råde over og beherske den nødvendige risikoledelse på området. Sammenkoblingen af offentlige og private netværk og udveksling af informationer herigennem - undertiden med passage af en eller flere firewalls - kan undertiden give ekstra udfordringer med hensyn til forebyggelse af fortrolighed, integritet og tilgængelighed. DS/ISO/IEC 27001:2013 er tilbagetrukket Det fremgår af DS' hjemmeside, at den tidligere DS/ISO/IEC 27001:2013 er tilbagetrukket og altså ikke længere er gældende standard, men spørger man hos TAPCERT ApS/Nemko AS, som er et akkrediteret certificeringsorgan, oplyser man, at man stadig - i hvert fald en tid endnu - udsteder certifikater under den gamle betegnelse ved certificering af organisationers informationssikkerhedsledelsessystemers overensstemmelse med de internationale krav. Det skyldes, at akkrediteringen hos Norsk Akkreditering stadig er bundet op på det ellers tilbagetrukne dokument. Læg mærke til at bogstaverne foran 27001 har ændret sig Den nye standard hedder DS/EN ISO/IEC osv. på samme måde som 17000-seriens standarder for akkrediterede laboratorier m.fl. IEC Betyder, at standarden er lavet af den internationale elektrotekniske kommission IEC, International Electrotechnical Commission. ISO Betyder, at den verdensomspændende standardiseringsorganisation ISO, International Organization for Standardization har været med i arbejdet, som er foregået i regi af en såkaldt Joint Committee (JC) EN Betyder, at den nye standard i modsætning til den gamle standard er adopteret som Europæisk Standard DS Betyder, at dokumentet, som også er oversat til vort nationalsprog, nemlig dansk, også er adopteret som dansk standard. Det ansvarlige organ er Fonden Dansk Standard, DS. Når der foreligger en europæisk adoption betyder det, at CEN/CENELEC anerkender standarden, og at EU Kommissionen, hvis den vil udgive direktiver eller forordninger om informationssikkerhed, agter at anerkende ISO/IEC 27001 som såkaldt harmoniseret standard - dvs., at de pågældende direktiv- eller forordningskrav kan opfyldes ved at dokumentere overensstemmelse med standardens krav. Slut |
||
|
Modtagne kommentarer....
...