Staten har besluttet gradvist at indføre den internationale standard for informationssikkerhed, ISO/IEC 27001. Institutionerne kan nu vælge, om de vil skifte til den mere fleksible og mere ledelsesfokuserede ISO-standard, eller om de køre videre med den danske standard, DS 484 i op til 3 år.

DS484-standarden har utvivlsom løftet statens sikkerhedsniveau. Alligevel roser Lars Neupart, stifter og direktør i Neupart A/S nu staten for en pragmatisk og fornuftig beslutning. Der er flere årsager til, at skiftet er en god idé:

• Det er enkelt at skifte til ISO 27001.
• Skiftet mindsker risiko for, at institutioner bruger ressourcer på unødige sikringsforanstaltninger i fremtiden.
• ISO-standarderne holdes ajour. Det er i modsætning til DS 484, hvis fremtid synes noget usikker.
• Informationssikkerhed er et område i udvikling, og et standardskift synes u-undgåeligt.
• ISO 27001 beskriver et ledelsessystem for informationssikkerhed. Ledelsens engagement og stillingtagen til, hvor meget sikkerhed en institution har brug for, er både krævet og sundt. Det er en anden indgangsvinkel end DS484, der er af mange betragtet som en check-liste-standard efter "one size fits all"-princippet.
• Fordelene i det udførte DS484-arbejde nemt kan videreføres og genanvendes i ISO-sammenhæng ved hjælp fra softwareløsningen SecureAware

Neupart er den første og eneste it-sikkerhedsleverandør, som selv er ISO 27001-certificeret. Ingen anden dansk leverandør har assisteret flere virksomheder med ISO 27000-projekter. Neupart er virksomheden bag compliance-løsningen SecureAware, der gør det nemt at skifte standard. Løsningen understøtter både DS484, ISO27001, 27002 og 27005 og en række andre standarder.

IT- og Telestyrelsens nyhed

Finansministeriet: Enklere at sikre it-sikkerhed (se side 49)

Omtale i Version 2

Den konkrete ISO-løsning

Hvis du vil vide mere om ISO27000-serien

2009 compliance-tendenser for informationssikkerhed

Af Lars Neupart, direktør i it-sikkerhedsvirksomheden Neupart A/S.

It-branchen vælter sig i forkortelser - og nogle af dem glemmer vi hurtigere end andre. En vi så mere til i Danmark i 2009,  og som har chancer for at blive hængende i længere tid, er GRC: Governance, Risk- , og Compliance management. It-delen af GRC omfatter :

• Governance: It-ledelse, it-sikkerhedsledelse, tilpasning af it og it-sikkerhed med forretningsmål, ISMS, sikkerhedspolitikker, beredskabsplaner, forankring, awareness-kampagner med mere.
• Risk Management: Hvor stor er organisationens "risikoappetit".  Hvordan afhænger forretningen af it, og hvad gør ondt på forretningen (konsekvensvurdering, "BIA"). Og hvor sandsynligt er det, at det sker? Hvordan håndterer organisationen disse risici?
• Compliance Management: Identifikation og aktiviteter, der sikrer efterlevelse (helt eller delvist) af kravsæt eller anbefalinger, typisk i  form af lovgivning, kundekrav eller standarder for et område eller en branche.

Jeg vurderer GRC-begrebet som overlevelsesdygtigt, fordi langt de fleste, hvis ikke alle, organisationer har brug for de tre begreber hver for sig.

Betalingskortstandarden PCI DSS (Payment Card Industri - Data Security Standard) er ikke slået rigtigt igennem i Danmark. Standarden er måske blevet opfattet som en standard, der primært henvender sig til den finansielle sektor. Den er dog måske reelt vigtigere for detail-branchen, som ganske vist kontraktmæssigt kan forpligte sine it-leverandører til at efterleve betalingskortkravene, og i nogen udstrækning kan nøjes med elektoniske erklæringer om dette. Men man kan som bekendt ikke helt eliminere sit eget ansvar med en leverandøraftale.

Leverandøraftaler er også en vigtig ingrediens i forbindelse med et andet meget omtalt fænomen: Cloud computing.  Skeptikere siger, at cloud computing kan være en modsætning til compliance; i hvert fald compliance med nogle love og standarder. Sikkerheden i skyen afhænger af typen af sky, og der er masser af udfordringer. Der er også en særdeles  tiltalende økonomi i cloud computing, og derfor arbejder mange personer og organisationer aktivt på at løse sikkerhedsproblemerne og compliance-udfordringerne.  I 2009 så vi vejledninger fra blandt andet  Cloud Security Alliance og Enisa. Der er håb forude!

Beredskabsplanlægning  er en anden voksende tendens, som vi så i 2009.  En af de mest fremstormende britiske standarder er BS25999, som beskriver et "Business Continuity Management System". Det er nu muligt at få certificeret beredskabsstyring. PS: Det var briterne der opfandt forløberne til ISO2700x og dermed DS484.

Apropos DS484, så blev 2009 også året, hvor lidt flere begyndte at stille fornuftige spørgsmål til omfanget af DS484-efterlevelse. I staten har en del institutioner oplevet DS484-efterlevelse som bureaukratisk. Det er ikke underligt, for der kræves meget før man kan påberåbe sig efterlevelse. ISO2700x-familien giver mere fleksibilitet og fokuserer mere på ledelsesdelen og på processerne. I sidste ende er det dog et governance-spørgsmål, hvor stringent DS484-efterlevelse indføres i praksis. Det bliver spændende at se, om det nye år giver en beslutning om hvorvidt DS484 skal opdateres som en selvstændig dansk standard. Den ISO-standard, der var grundlaget  for DS484 er i mellemtiden blevet til en serie af standarder med foreløbigt 5 dokumenter, og der er allerede flere opdateringer på vej. Så en beslutning er nødvendig.

Lovgivningsmæssigt er det stadig de gamle travere, som persondatalov, bogføringslov  og markedsføringslov, hvor "compliance" har mest it-relevans i Danmark. Det er værd at bemærke, at i 2009 begyndte EU i højere grad at tale om "Data Breach Notification". Det betyder, at virksomheder, der sjusker med sikkerheden omkring borgeres informationer, kan blive forpligtet til at informere de personer, hvis data de har mistet. Jeg er imod regler for reglernes skyld, men dårlig informationssikkerhed bør ikke være gratis. Derfor kan lovgivning på dette område være en sund drivkraft for, at flere organisationer tænker sig ekstra godt om, og beskytter deres egne og deres kunders informationer ordentligt. Effekten vil utvivlsomt være bedre informationssikkerhed.

It-sikkerhedsvirksomheden Neupart A/S, er igen blevet ISO 27001-certificeret. Et certifikat udstedes for en 3-årig periode, og forudsætter at virksomheden, udover den fulde certificeringsaudit, også gennemgår et årligt opfølgningsaudit.

I november måned, havde Neupart igen besøg af auditørerne fra Dansk Standard, og resultatet var flot.

Neupart har gennem årene opbygget en erfaring og tradition for at være ISO 27001-certificeret:

• I 2003 blev Neupart certificeret i henhold til BS7799-2 standarden. De britiske standarder var forløber for ISO 27001 og DS484.
• I 2006 blev Neupart ISO27001-certificeret for første gang.
• I 2009 valgte Neupart endnu en gang at søge certificering.

Neupart's ISMS er selvfølgelig baseret på SecureAware, som forenkler ISMS-etablering og løbende opfølgning.

Læs mere om ISO 27001 her.

Du kan læse CRN-beskrivelsen om SecureAware her og se forsiden af historien her.

• Facebook-indhold - Nyt indhold og regler om brug af sociale netværk.
• Cobit 4.1 - "Control objectives" fra Cobit 4.1 er nu med i SecureAware.
• DS484 - Nye skabeloner og strukturer giver simplere DS484-efterlevelse.
• PCI DSS 1.2.1 - Nye skabeloner og strukturer, samt nyt spørgeskema med test-procedurer til jer, der skal efterleve PCI-kravene.
• ISO27002 - Skabeloner og strukturer - simplere ISO27002-efterlevelse.
• 100.000 brugere eller flere i jeres AD? - Intet problem  - SecureAware er både til store og små organisationer
• "Awareness og Education"  - Quiz-certifikater, anonyme quizzer, brugerdefinerede startsider til jereawareness-programmer.
• Installations-program - Nyt installationsprogram holder TCO nede. Det er blevet endnu lettere både at installere og holde jeres SecureAware opdateret.

Skriv til os, hvis du vil have en uforpligtende gennemgang af nogle af nyhederne

En del af seminarerne henvender sig til virksomheder og andre til kommuner. Seminarerne fremgår også af den nye it-sikkerheds-kalender.

Læs mere om seminarerne her.

Hvis du arbejder i en kommune er, kan du med fordel tilmelde dig et at de kommunerettede seminarer.

Lær mere om it-beredskab.

Få et uforpligtende møde om it-beredskab.

Læs mere om en effektiv løsning til it-beredskab.

Gazeller udvælges blandt mere end en ½ million selskaber, og skal opfylde en række krav. En Gazelle skal være profitabel, og skal samtidigt vokse hurtigt. En vækst på mindst 100% kræves over de 4 sidste regnskabsår. I Neupart's tilfælde er bruttofortjenesten vokset med hele 198%, altså næsten dobbelt så meget som mindstekravet.

Direktør og stifter i Neupart, Lars Neupart, er ikke i tvivl om årsagen til succesen: Vores kunder kan se de indlysende fordele i at kombinere vores erfarne it-sikkerhedskonsulenter med Neuparts egenudviklede softwareløsning, der automatiserer tidskrævende aktiviteter i it-sikkerhedsarbejdet.

Læs mere om Gazelle-udvælgelse på Dagbladet Børsen

og se den komplette Gazelle-liste med alle brancher her.

Forretningsmæssig og privat brug af virksomhedens it til sociale netværk skal besluttes i virksomheden og kommunikeres til brugerne. Ligesom virksomheder har behov for en e-mail-politik, skal der nu laves en "Facebook-politik". Dermed kan virksomheder nedsætte deres sårbarhed fra truslerne, som følger med de nye teknologier.

Standarderne DS484, ISO27001/2 og PCI DSS kræver retningslinier for brug af netværkstjenester.

Læs vejledning om sikkerhed i sociale netværk...

Se eksempler på virksomhedsregler...

Virksomheder har et ansvar for passende beskyttelse af deres kunders  informationer og data.

Læs artiklen om identitetstyveri her.

Læs om nyheden hos Dansk Standard

ISO's abstract om ISO 27000

Få et overblik over alle 27000-standarderne