Description of Image.



Vores blog

Tag på tur med Thomas Tog
Ny 2017 udgave af DS/ISO/IEC 27001
Typiske trusler mod informationssikkerheden

Skriv et indlæg til bloggen

27001universitetet.dk - Bloggen

DS/ISO/IEC 27001:2013 er blevet afløst af DS/EN ISO/IEC 27001:2017
Af Torben Abildgaard Pedersen 2017-07-18
Hvad er der sket?
Faktisk er standarden fra 2013 med krav til informationssikkerhedsledelsessystemer blevet afløst af en ny 2017-udgave, fordi to rettelsesblade Cor 1:2014 og Cor 2:2015 er blevet indarbejdet i standarden. Tilpasningen er foretaget af Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Security techniques.

Hvad er begrundelsen for, at der er kommet en ny standard?
Det er mere brugervenligt, når alle krav er samlet og beskrevet fyldestgørende uden fejl og mangler i ét dokument. Derfor er sammenskrivningen foretaget.

Hvori består ændringerne?
De to sproglige opstramninger fører til, at tendens til uklarhed er blevet afhjulpet på to områder:

  1. Beskrivelsen af kravet i A.8.1.1 om fortegnelse over aktiver er ændret
    fra
    "Aktiver i relation til information og informationsbehandlingsfaciliteter skal identificeres, og der skal udarbejdes og vedligeholdes en fortegnelse over disse aktiver".
    til
    "[Informationer og andre] aktiver i relation til information[s-] og informationsbehandlingsfaciliteter skal identificeres, og der skal udarbejdes og vedligeholdes en fortegnelse over disse aktiver".
    [Præciseringerne er hentet fra rettelsesbladet Cor1:2014 gengivet på ISO's hjemmeside, og oversættelse i firkantede parenteser skyldes 27001universitetet.dk og ikke Fonden Dansk Standard].
  2. Beskrivelsen af kravet i 6.1.3.d om SoA - Statement of Applicability - Erklæring om it-kontrollers anvendelighed er ændret
    fra
    "tilvejebringe et statement of applicability, som indeholder de nødvendige kontroller (se 6.1.3 b) og c)) og begrundelse for, hvorfor nogle kontroller er medtaget, hvad enten de er implementeret eller ej, samt begrundelse for, hvorfor andre er udeladt fra anneks A"
    til
    "tilvejebringe et statement of applicability, som indeholder:
    • [oplistning af] de nødvendige kontroller (se 6.1.3 b) og c));
    • begrundelse for, hvorfor [netop de] kontroller er medtaget;
    • om de [pågældende] kontroller er implementeret eller ej; samt
    • begrundelse for, hvorfor [de øvrige kontroller] fra anneks A er udeladt".
    [Punktopstillingen med semikoloner stammer fra rettelsesbladet Cor2:2015 gengivet på ISO's hjemmeside, og kursiveringer samt oversættelse/forklarende tekst i firkantede parenteser skyldes 27001universitetet.dk og ikke Fonden Dansk Standard].
Hvad betyder ændringerne for brugerne?
I standardiseringsverdenen udgiver man kun rettelsesblade ved siden af og uafhængigt af det løbende, ganske krævende revisionsarbejde vedrørende hoveddokumentet, når det anses for nødvendigt for standardens rette brug og udnyttelse, og når det i henseende til ændringernes art og omfang lader sig gøre isoleret at udgive rettelsesbladene isoleret fra dokumentets øvrige dele, uden at det vil medføre, uden at det kompromitterer hoveddokumentets hørings- og godkendelsesmæssige status.
En anden grund til, at man er forsigtig med at udgive rettelsesblade til gældende ledelsessystemstandarder er, at hvis præcisering af kravene reelt repræsenterer substantielle ændringer, bør brugerne af informationssikkerhedsledelsessystemer naturligvis indrømmes en rimelig overgangsperiode, inden en hidtil gældende standard tilbagetrækkes.

Hvorfor og hvordan arbejder man med rettelsesblade i standardiseringsverdenen?
Inden for sektorer, hvor man arbejder med digitaliseret økonomi, e-handel, er et ISMS afgørende for, at organisationen vil råde over og beherske den nødvendige risikoledelse på området. Sammenkoblingen af offentlige og private netværk og udveksling af informationer herigennem - undertiden med passage af en eller flere firewalls - kan undertiden give ekstra udfordringer med hensyn til forebyggelse af fortrolighed, integritet og tilgængelighed.

DS/ISO/IEC 27001:2013 er tilbagetrukket
Det fremgår af DS' hjemmeside, at den tidligere DS/ISO/IEC 27001:2013 er tilbagetrukket og altså ikke længere er gældende standard, men spørger man hos TAPCERT ApS/Nemko AS, som er et akkrediteret certificeringsorgan, oplyser man, at man stadig - i hvert fald en tid endnu - udsteder certifikater under den gamle betegnelse ved certificering af organisationers informationssikkerhedsledelsessystemers overensstemmelse med de internationale krav. Det skyldes, at akkrediteringen hos Norsk Akkreditering stadig er bundet op på det ellers tilbagetrukne dokument.

Læg mærke til at bogstaverne foran 27001 har ændret sig
Den nye standard hedder DS/EN ISO/IEC osv. på samme måde som 17000-seriens standarder for akkrediterede laboratorier m.fl.





IEC
Betyder, at standarden er lavet af den internationale elektrotekniske kommission IEC, International Electrotechnical Commission.

ISO
Betyder, at den verdensomspændende standardiseringsorganisation ISO, International Organization for Standardization har været med i arbejdet, som er foregået i regi af en såkaldt Joint Committee (JC)

EN
Betyder, at den nye standard i modsætning til den gamle standard er adopteret som Europæisk Standard

DS
Betyder, at dokumentet, som også er oversat til vort nationalsprog, nemlig dansk, også er adopteret som dansk standard. Det ansvarlige organ er Fonden Dansk Standard, DS.
Når der foreligger en europæisk adoption betyder det, at CEN/CENELEC anerkender standarden, og at EU Kommissionen, hvis den vil udgive direktiver eller forordninger om informationssikkerhed, agter at anerkende ISO/IEC 27001 som såkaldt harmoniseret standard - dvs., at de pågældende direktiv- eller forordningskrav kan opfyldes ved at dokumentere overensstemmelse med standardens krav.



Slut

Modtagne kommentarer....

...