ISO 27001 - ISMS - Ledelsessystem for informationssikkerhed

Skrevet af Jakob Holm Hansen | Dec 26, 2023 11:00:00 PM
ISO 27001 er en international standard, der stiller krav til et ledelsessystem for informationssikkerhed, også kaldet et ISMS, Information Security Management System. Standarden stiller ikke direkte krav til konkrete sikringsforanstaltninger. Virksomheder er forskellige, og et ISMS opbygges altid individuelt til at håndtere den konkrete organisations IT-sikkerhedsbehov.
Indhold på siden:
  • Baggrund
  • Indhold i ISO 27001
  • Certificering
  • DS 484 er færdig
  • Vejledning til risikostyring med ISO 27005
  • Statement of Applicability i henhold til ISO 27001:2022  
  • Måling af informationssikkerhed med ISO 27001-metrikker

Baggrund

 

ISO 27001 blev frigivet som den første i ISO 27000-serien af standarder for informationssikkerhed. Den udkom første gang i oktober 2005 og beskriver krav til et ISMS. Eller som den danske udgave beskriver det: Ledelsessystem for informationssikkerhed. I oktober 2022 blev den opdateret og den nye version tilbyder forbedringer på en række områder,  fx øget fleksibilitet i valg af risikometode, forbedrede krav til løbende forbedringer, mindre rigide krav til ledelsesrapportering.

 

ISO 27001 er nu - som i første version - stærkt relateret til ISO 27002 (også kaldet Appendix A), som beskriver en "code of practice", altså en vejledning, omkring hvilke sikringsforanstaltninger en organisation kan vælge at indføre.
 

Indhold i ISO 27001

 

ISO 27001 er ganske kort: Efter sædvanlig ISO-praksis er afsnit 0 (!), 1, 2 og 3 henholdsvis introduktion, afgrænsning, referencer og termer.

  • Afsnit 4 beskriver omfang af ISMS baseret på organisationens og interessenters krav.
  • Afsnit 5 beskriver "Leadership", det vil sige hvilke opgaver ledelsen har i ISMSet.
  • Afsnit 6 handler om at sætte mål for informationssikkerheden, risikoappetit, risikoanalyse, og håndtering / behandling af risici. Begrebet risikoejer er en nyhed. Der er ikke krav om et egentligt "systemejerskab", der har været udbredt i mange danske organisationer.
  • Afsnit 7 beskriver at virksomheder har brug for relevante kompetencer indenfor informationssikkerhed, samt stiller krav om awareness og om intern og ekstern kommunikation om informationssikkerhed.
  • Afsnit 8 beskriver løbende drift af ISMS herunder at udføre de handlingsplaner, der aftales. Handlingsplaner baseres på en proces for risikohåndtering (risk treatment), der igen udspringer af regelmæssige vurderinger.
  • Afsnit 9 handler om at evaluere og måle performance af ISMS-processer og it-kontroller, om intern audit og ledelsens gennemgange.
  • Afsnit 10 er det sidste "rigtige" afsnit og her beskrives det, at man skal håndtere afvigelser og at man løbende skal forbedre ISMS'et. En Plan-Do-Check-Act proces (PDCA) er siden 2013 ikke længere krævet, men er bestemt stadig en måde at implementere en proces for løbende forbedringer.

Disse afsnit fylder blot 9 sider ud af standardens samlede 23 sider. Appendix A er en gengivelse af de sikringsforanstaltninger, som i detaljer er beskrevet i 2022-udgaven af ISO 27002.

Certificering

 

Organisationer kan søge certificering i henhold til ISO 27001. Det er ikke muligt at blive ISO 27002-certificeret, fordi denne standard ikke stiller egentlige krav. Der er kun ganske få danske ISO 27001-certificerede virksomheder. Ønsker du hjælp til eller rådgivning om ISO 27001 certificering, så klik her og kontakt os.


Vejleding til risikostyring med ISO 27005

 

Et af de styrende elementer i ISO 27001 er kravet om, at informationssikkerheden baseres på de reelle risici, organisationer er udsat for. Samlet set kaldes denne aktivitet for risikostyring. Vi har udfærdiget en vejledning til risikostyring med udgangspunkt i standarden for Risk Management ISO 27005.

Hent vejledningen her


Vejledning til Statement of Applicability i henhold til ISO 27001:2013

 

I den ny ISO 27001, såvel som i den gamle, findes et centralt dokument, der hedder Statement of Applicability (SoA). SoA'en skal være tæt forbundet med jeres proces for risikohåndtering, og det er nyt at I skal udpege risikoejere, som godkender jeres risikohåndtering og jeres risikovillighed, også kaldet risiko-appetit.

SoA beskriver hvilke tiltag (controls på engelsk), der indgår i jeres ISMS. Det er nyt, at I skal begrunde både tilvalg og fravalg; en fin forbedring af standarden.  Da SoA er eller bliver så centralt et dokument i jeres ISMS, har vi lavet en gratis vejledning til, hvordan I mest effektivt kan lave jeres SoA.

Hent vejledningen her


Vejledning til måling af informationssikkerhed med ISO 27001-metrikker

 

Effektivitet og produktivitet debatteres i mange sammenhænge. Også når vi taler informationssikkerhed, giver det mening at sikre, at virksomhedens processer fungerer effektivt. Men hvordan måler man om virksomhedens informationssikkerhed er effektiv, og om den udvikler sig i den rigtige retning? Læs mere her

 

Vi har udarbejdet en vejledning til formålet. Vejledningen har fokus på ISMS-processerne (Information Security Management System). ISMS-metrikker måler værdien/effektiviteten af jeres styring af informationssikkerheden. ISMS-metrikker er samtidigt et bud på udfordringen med at kunne vise ændringerne over tid - fx. til ledelsen.

 

Hent vejledningen her 
Se hele indlægget