ISO 27001 - ISMS - Ledelsessystem for informationssikkerhed

Indholdsfortegnelse:

Opsummering

ISO 27001 er en international standard, der stiller krav til et "Ledelsessystem for informationssikkerhed", også kaldet et ISMS. Standarden stiller, i modsætning til DS 484, ikke direkte krav til konkrete sikringsforanstaltninger. Virksomheder er forskellige, og et ISMS opbygges altid individuelt til at håndtere den konkrete organisations sikkerhedsbehov.

Baggrund

ISO 27001 blev frigivet som den første i ISO 27000-serien af standarder for informationssikkerhed. Den udkom første gang i oktober 2005 og beskriver krav til et ISMS, som betyder "Information Security Management System". Eller som den danske udgave beskriver det: Ledelsessystem for informationssikkerhed.

ISO 27001 er stærkt relateret til ISO 27002, som beskriver en "code of practice", altså en vejledning, omkring hvilke sikringsforanstaltninger en organisation kan vælge at indføre. 27002 hed tidligere ISO 17799, som blev lavet på basis af den britiske standard BS 7799-1. Den danske DS 484 blev oversat fra, eller var kraftigt inspireret af ISO 17799. Afsnitsnummereringen i DS 484 og ISO 27002 er således helt identisk, og de to standarder beskriver de samme sikringsforanstaltninger.

ISO27002-DS484-480

Indhold

ISO 27001 er ganske kort: Efter sædvanlig ISO-praksis er afsnit 0 (!), 1, 2 og 3 henholdsvis introduktion, afgrænsning, termer og referencer.

Afsnit 4 beskriver ISMS: Omfang, politik, risikovurdering og -behandling, herunder aktiv-identifikation og ejerskab, udvælgelse af sikringsforanstaltninger og ledelsesgodkendelse.
Afsnit 5 beskriver ledelsens ansvar.
Afsnit 6 beskriver intern audit.
Afsnit 7 beskriver gennemgang af ISMS.
Afsnit 8 beskriver løbende forbedringer.

Disse afsnit fylder blot 12 sider ud af standardens samlede 36 sider. Appendix A er en gengivelse af de 135 sikringsforanstaltninger, som i detaljer er beskrevet i ISO 27002 og DS 484.

Nyhed - Lær mere om ISO 27001 på halvdagsseminar

Certificering

Organisationer kan søge certificering i henhold til ISO 27001. Det er ikke muligt at blive ISO 27002-certificeret, fordi denne standard ikke stiller egentlige krav. I skrivende stund er kun ganske få danske virksomheder ISO 27001-certificerede. Det er for eksempel CSC, NNIT og Neupart A/S.

ISO 27001- og DS 484-sammenligning.

Som det allerede fremgår af ovenstående, er udgangspunktet og formålet med de to standarder helt forskelligt, og derfor er der flere faglige forskelle. De væsentligste er:

ISO 27001 stiller helt specifikke krav til ISMS. Eksempler er detaljerede krav til politik, risikovurdering, intern audit og opfølgning, ikke mindst fra ledelsens side. Dansk Standards checkliste, som anvendes ved ISO 27001-certificering indeholder 66 checkpunkter. Disse krav findes ikke så specifikke i DS 484, omend flere af 484's sikringsforanstaltninger overlapper delvist.
I DS 484 er sikringsforanstaltninger og implementeringsretningslinier formuleret som krav. I afsnit 3 står der at "Hvis en virksomhed ønsker at påberåbe sig, at den efterlever denne standard, skal alle de basale sikringsforanstaltninger og implementeringsretningslinjer være etableret." Der er 135 sikringsforanstaltninger og op til 600 implementeringsretningslinier. Nogle retningslinier kaldes skærpede krav, som ikke alle organisationer behøver at efterleve.
I et ISO 27001-projekt udarbejdes et "Statement of Applicability". Her kan organisationen, med passende forretningsbegrundelse (typisk baseret på risikovurderingen), vælge om en sikringsforanstaltning skal indføres. Princippet kaldes også "comply or explain", hvor man skriver hvorfor man i givet fald ikke indfører en bestemt sikringsforanstaltning.

ISO-standarden kræver mere på ledelsesområdet, hvor DS484 har mere omfattende krav til konkrete sikringsforanstaltninger.

Hvilken standard skal vi følge?

Lidt populært kan man vel sige, at DS 484 er et eksempel på en "one-size-fits-all"-standard, hvor ledelsen slipper for at tage stilling til organisationens behov, og at ISO 27001 bedre kan tilpasses individuelle behov. I årevis har Neupart anbefalet ISO-standarderne til virksomheder, som har internationale relationer, eller som foretrækker at risikovurdere sig frem til et ønsket og nødvendigt sikkerhedsniveau. Med ISO 27001 kan man skrive en forklaring i stedet for at indføre unødig beskyttelse, og stadig efterleve standarden.