.: Temaer :: ISO 27000
ISO 27000, DS 484 og BS 7799
Informationssikkerhed bliver stadig mere standardiseret. På denne side giver Neupart dig et overblik over de internationale standarder, som har mest relevans for danske virksomheder.
Nyhed - Lær om ISO 27001 på halvdagsseminar
Internationale standarder - overblik
27000 er ISOs relativt nye nummerserie for internationale standarder om informationssikkerhed. Her er et lille overblik over de nuværende og kommende standarder:
| ISO/IEC | Beskrivelse | Britisk Standard |
| 17799 | Udgået: Code of practice for information security management | Svarer til BS 7799-1 |
| 27000 | Information security management systems -- Overview and
vocabular. Frigivet 2009 |
|
| 27001 | Information security management systems - Requirements. På
dansk og engelsk. |
Svarer til BS 7799-2 |
| 27002 | Code of practice for information security management. Erstatter ISO17799 | Svarer til BS 7799-1 |
| 27003 | ISMS Implementation Guidelines | |
| 27004 | Information Security Management - Measurement.
Effektivitetsmåling. Frigivet 2009. |
|
| 27005 | ISMS Risk Management. Tager udgangspunkt i og erstatter de ældre og mindre udbredte ISO13335-standarder | Svarer delvist til BS 7799-3. |
| 27006 | Krav til auditører: Requirements for bodies providing audit and certification of ISMS | Ingen pendant |
ISO 27001 og ISO-certificering:
ISO 27001 udkom som den første i den ny serie standarder i
oktober 2005. Det er en standard som er et "søsterdokument" til ISO
27002. ISO 27001 beskriver de konkrete krav til
it-sikkerhedsledelse (ISMS, Information Security Management
Systems) og ISO 27002 beskriver "Code of practice". Hvis man som
virksomhed ønsker at have ISO-certificeret informationssikkerhed,
kan man søge certificering i ISO 27001, ikke i ISO 27002 eller ISO
17799. ISO 27001-certificering svarer altså til certificering i BS
7799-2.
Dansk Standard DS 484:2005
Standarden svarer i princippet til den udgåede ISO 17799:2005
med den forskel, at man kan søge certificering i DS 484. DS 484
indeholder alle vejledningerne fra ISO 17799 formuleret som
krav.
Forskelle i ISO 27001- og DS 484-certificering.
Virksomheder med internationale aktiviteter vil nok foretrække ISO-standarder frem for danske standarder, i hvert fald rent markedsføringsmæssigt. Men der er også faglige forskelle mellem de to standarder:
- ISO 27001 afsnit 4, 5, 6, 7 og 8 stiller specifikke krav til ISMS. Eksempler er detaljerede krav til politik, risikovurdering, intern audit og opfølgning, ikke mindst fra ledelsens side. Disse krav findes ikke så konkrete i DS 484 (eller i ISO 27002).
- I et ISO 27001-projekt udarbejdes et "Statement of Applicability. Her kan organisationen, med passende forretningsbegrundelse, vælge ikke at indføre en sikringsforanstaltning.
- I DS 484 er også implementeringsretningslinier formuleret som absolutte krav, idet ordet "skal" indgår i alle implementeringsretningslinier. Dette medfører, at de 135 sikringsforanstaltninger suppleres med ca. 600 krav, hvoraf en del kaldes skærpede krav (disse er markeret med *).
ISO'en er således mere omfattende på ledelsesområdet, hvor DS 484
har mere omfattende krav til konkrete sikringsforanstaltninger.
Hvilken standard, der er bedst egnet, afhænger af virksomhedens
forhold og behov. Lidt populært kan man vel sige, at i DS 484
"slipper man for at tage stilling til sit behov", og at ISO'en
bedre kan tilpasses et individuelt behov. For virksomheder, der
foretrækker at risikovurdere sig frem til et ønsket
sikkerhedsniveau, anbefaler Neupart ISO-standarderne.
Download
 |
Download en gratis prøveversion af SecureAware IT GRC. Installerer nemt på en server eller pc. |
Yderligere information
Læs mere om hvordan man etablerer et ISMS..
Sådan hjælper vi
Neupart hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Mere
|
|
|
|
