ISO 27001 standardens formål og opbygning
Flere virksomheder oplever i dag, at kunderne stiller store krav til deres informationssikkerhed. Vil du komme dem i forkøbet og skabe goodwill og tillid, så bør du kigge nærmere på den internationale standard for informationssikkerhed – ISO 27001.
I denne artikel kigger vi på ISO 27001-standarden, som store dele af det offentlige Danmark allerede er pålagt at følge. Generelt kan private virksomheder af enhver størrelse og branche drage fordel af at gå denne vej. Vi dykker ned i indholdet af standarden og giver dig et overblik over:
- ISO 27001-standardens formål
- ISO 27001-standardens opbygning
- De 11 områder, der kræver dokumentation
ISO/IEC 27001 er en international standard for informationssikkerhed, som du opbygger dit Information Security Management System (ISMS) efter. |
Det skal understreges, at certificering ikke er en nødvendighed. Alene det at du følger principperne i standarden kan give betydelig positiv effekt på forretningen, men med en certificering har du dokumentation for, at virksomheden lever op til kravene i standarden.
Forskellen på IT-sikkerhed og informationssikkerhed
Et ISMS kan defineres som: En struktureret tilgang til organisationens informationssikkerhed for at nå forretningsmålene. Det baseres på risikovurderinger og organisationens risikoappetit, samt evnen til effektiv styring af risici. ISMS identificerer krav til beskyttelse af organisationens informationsaktiver, og at der anvendes egnede og relevante teknisk og organisatoriske foranstaltninger til sikring af disse. |
Det virker måske banalt, men forskellen på IT-sikkerhed og informationssikkerhed er væsentlig at holde sig for øje. De to termer bruges ofte i flæng, men der er tale om to vidt forskellige ting. Hvor IT-sikkerhed beskytter systemer, netværk og enheder mod skadelige angreb, er informationssikkerhed den overordnede politik, der dikterer, hvordan arbejdet med blandt andet IT-sikkerhed skal gribes an.
Standarden opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.
Formålet med ISO 27001
Formålet med ISO 27001 er at opnå effektiv informationssikkerhedsledelse, der er tilpasset til den enkelte virksomheds særlige behov, samt sikre at denne effektivitet fastholdes gennem en iterativ forbedringsproces. Det betyder, at informationssikkerheden hele tiden opdateres, så virksomheden er i stand til at håndtere udfordringerne i en verden under konstant forandring. Der er mange gevinster ved en ISO 27001-proces. Vi har listet nogle af gevinsterne her.
Det skal bemærkes, at standarden ikke stiller krav til værktøjer eller metoder. Når det fx er beskrevet, at der skal laves risikovurderinger, er det op til den enkelte virksomhed at definere relevante metrikker til disse målinger.
Ligeledes stiller ISO 27001 heller ikke krav om værktøjs-/softwareunderstøttelse. Der findes talrige leverandører, der udvikler og sælger diverse softwareløsninger til at holde styr på et ISMS. Det kan være fordelagtigt, at du orienterer dig i markedet – jo større og kompleks ens organisation er, desto mere relevant bliver god værktøjsunderstøttelse, men som sagt er det ikke et ISO 27001-krav. Mange virksomheder driver deres ISMS i fx et Excel-regneark eller på en Sharepoint-platform.
Opbygning af ISO 27000-serien
- ISO 27000: Indeholder definitioner og forklaringer af alle de underliggende standarder.
- ISO 27001: Er kravstandarden for Informationssikkerhed, som du kan blive certificeret efter. Anneks A indeholder 93 foranstaltninger, som skal iagttages. Læs om kravene her.
- ISO 27002: Vejledende standard for udvælgelse af foranstaltninger i forbindelse med implementering af ISMS. Der er tale om konkretisering og eksemplificering af Anneks A i ISO 27001.
- ISO 27003: Vejledende standard for implementering af ISMS og foranstaltninger.
- ISO 27004: Vejledende standard for måling af informationssikkerheds foranstaltninger.
- ISO 27005: Vejledende standard for risikostyring relateret til informationssikkerhed.
- ISO 27007: Vejledende standard for opbygning af auditering/intern kontrol.
- ISO 27021: Vejledende standard for håndtering af kompetencer relateret til ISMS.
- ISO 27031: Vejledende standard for opbygning af Business Continuity.
- ISO27035: Vejledende standard for opbygning af Incident management under ISMS.
- ISO27036: Vejledende standard for håndtering af informationssikkerhed i forsyningskæden.
- Standarderne fra ISO 27002 til ISO 270036 konkretiserer og eksemplificerer, hvordan du gør dét, der i ISO 27001 er defineret som hvad.
11 områder, der kræver dokumentation
ISO 27001-standarden bygger på den velkendte CIA triad. Det vil sige, standarden har 3 specifikke fokuspunkter til beskyttelse af virksomhedens informationer. Det hele handler om:
|
Du skal træffe en lang række beslutninger i en ISO 27001-proces, og i forbindelse med en eventuel certificering er det afgørende, at du kan fremlægge dokumentation for tilvalg, fravalg, løsninger, ansvarsplaceringer mv.
En almindeligt udbredt opfattelse er i denne sammenhæng også, at alt skal beskrives og dokumenteres. Det er ikke tilfældet. Uagtet at det giver mening at have styr på aftaler og beslutninger, betyder det ikke, at standarden sætter store krav til dokumentationen.
ISO 27001 kræver kun dokumentation for 11 områder. Herunder lister vi områderne, hvor der stilles krav (med reference til kapitler og punkter i standarden):
- Politik og målsætninger (5.2; 6.2): En dokumenteret informationssikkerhedspolitik, der indeholder målsætninger og informationssikkerhed
- Anvendelsesområde (4.3): En dokumenteret afgrænsning af ISMS’et
- Risikometode (6.1.2): En beskrivelse af risikovurderings- og håndteringsprocessen
- Risikovurdering (6.1.2, 8.2): En risikovurderingsrapport
- Risikohåndteringsplan (6.1.3, 8.3): En plan for håndtering af risici
- SOA-dokument (6.1.3): Et ”Statement of Applicability”
- Medarbejderkompetencer (7.2d): Dokumentation for kvalifikationer, erfaring og uddannelse
- Måling (9.1): Proces for og resultat af måling af foranstaltningers effektivitet
- Interne audits (9.2): Programmer og rapporter for interne auditeringer
- Ledelsens gennemgang (9.3): Rapportering til ledelsen om evaluering af informationssikkerhed og effekten af ISMS, afvigelser og opfølgende handlinger
- Afvigelser og korrigerende handlinger (10.1): Registrering og håndtering af afvigelser og implementering af korrigerende handlinger
kaastrup|andersen som din samarbejdspartner
Har du brug for hjælp til en ISO 27001-proces? Vi hjælper dig gerne videre. Ud fra dine behov sammensætter vi et unikt team af fx IT-projektledere, sikkerhedskonsulenter og IT-arkitekter. De kan blandt andet hjælpe dig med at afdække, hvilke tiltag der skal til for at løse din udfordring og sørge for intelligent træk på dine interne ressourcer, når projektet gennemføres.
Vi står altid klar til at tage en uforpligtende snak med dig om din IT-infrastruktur og cybersikkerhed. Kontakt Simon Søgaard Jensen på ssj@kaastrupandersen.dk eller +45 4412 7191 .