5-isofamilien 5-isofamilien

ISO 27000 familien

December 2017
Flemming Kjærsdam


ISO 27001 er et styringsværktøj for virksomhederne til at kunne tilpasse deres sikkerhedsindsats efter forretningsmålene. Hvor den tidligere nationale standard DS 484 fokuserede på et fast sæt af it-relaterede sikkerhedsforanstaltninger, stiller ISO/IEC 27001 krav om, at organisationer planlægger, implementerer, vedligeholder og løbende forbedrer et såkaldt ledelsessystem for informationssikkerhed (ISMS).


I de seneste to nyhedsbreve fra oktober og november 2017 har itSMF haft artikler om ISO 27001 og koblingen til EU´s nye databeskyttelsesforordning. Denne artikel handler om ISO 27001 familien, så du kan få et overblik over de forskellige standarder i 27000-serien og 29000-serien, som handler om privacy, og som kan bruges i forbindelse med implementeringen af EU´s databeskyttelsesforordning, der træder i kraft den 25. maj 2018.

Dansk Standard skriver:
”Ledelsessystemet indebærer, at organisationer på basis af en risikostyringsproces udpeger de sikkerhedsforanstaltninger, som er væsentlige for deres forretning og som harmonerer med deres interessenters behov. Topledelsen spiller her en central rolle i forhold til at formulere og kommunikere organisationens informationssikkerhedspolitik samt frigøre de nødvendige ressourcer til den prioriterede sikkerhedsindsats.

Informationssikkerhedsbegrebet betyder desuden, at organisationer forholder sig til sine kritiske og følsomme informationer, hvad enten de befinder sig i elektronisk eller fysisk form. Dermed bliver arbejdet med informationssikkerhed et anliggende for hele organisationen, fra den fysiske adgangskontrol i bygninger, over uddannelse af medarbejdere til it-tekniske kontroller til beskyttelse mod cybersikkerhedsangreb.”

Nedenfor bringer vi de vigtigste standarder i ISO 27000 familien og koblingen til ISO 29000-serien.



• Ordliste-standarder: ISO/IEC 27000 er en ordliste, som specificerer definitioner og begreber relateret til informationssikkerhed.

• Krav-standarder: De såkaldte normative2 standarder i 27000-serien, som præciserer kravene hvorefter organisationer kan lade sig certificere. Hvor ISO/IEC 27001 angiver kravene til et ISMS, listes i ISO/IEC 27006 kravene til de organisationer, som auditerer og certificerer i efterlevelse ISO/IEC 27001.

• Vejledende standarder: ISO/IEC 27002 giver vejledning i efterlevelse af de kontroller, som er listet i ISO/IEC 27001’s anneks. ISO/IEC 27003 vejleder i faserne ved implementering af et ISMS. ISO/IEC 27004 vejleder i, hvordan der opstilles metrikker til måling af kontrollers effekt. ISO 27005 vejleder i metoder til risikostyring.

• Sektorspecifikke standarder. Kategorien omfatter vejledninger og tekniske rapporter, som hjælper forskellige brancher til at følge kravene i ISO/IEC 27001, bl.a. ISO/IEC 27011 for teleindustrien, ISO/IEC 27015 for finanssektoren, ISO/IEC 27017 for cloud-løsninger samt ISO/IEC 27019 for forsyningssektoren.

• Vejledende Kontrol-specifikke standarder. Standarder benævnt ISO/IEC 2703x til ISO/IEC 2705x vejleder i anvendelsen af kontroller, fx i forhold til cybersikkerhed (ISO/IEC 27032) eller leverandørforhold (ISO/IEC 27036).

2. Modsat de øvrige standarder, som er i informativ form.

3. Det er ikke en entydig opdeling, eksempelvis ISO/IEC 27018 som vejleder i beskyttelse af identificerbare personlige oplysninger i offentlige skyer, der fungerer som processorer af personlige oplysninger.

Privacy-relaterede standarder henhører i ISO/IEC-regi primært under ISO/IEC 29100-serien3, som opstiller en arkitektur til beskyttelse af personfølsomme oplysninger. Senest er udviklet vejledende standarder i arbejdet med konsekvensanalyse (ISO/IEC 29134) og udvælgelse af kontroller (ISO/IEC 29151) i forhold til privacy. Deres relation i forhold til ISO/IEC 27000-serien er nedenfor illustreret.




 


.