ISO 27001, ISO 27002 og DS 484

Informationssikkerhed bliver stadig mere standardiseret. Her får du et overblik over de internationale standarder, som har mest relevans for danske virksomheder.

Internationale standarder - overblik

27000 er International Organization for Standards (ISO) relativt nye nummerserie for internationale standarder om informationssikkerhed. Her er et lille overblik over de nuværende og kommende standarder:

Se hvordan NorthGRC understøtter ISO 27001 og ISO 27002

NorthGRC er bygget op omkring internationale standarder for informationssikkerhed. Se hvordan platformen mapper direkte til ISO 27001/27002-kravene med strukturerede arbejdsområder, risikostyring og complianceoverblik.

Se ISO 27001/27002 framework →

ISO 27001 og ISO-certificering

ISO 27001 udkom i en opdateret udgave i slutningen af 2013. Det er en standard som er et "søsterdokument" til ISO 27002. ISO 27001 beskriver de konkrete krav til it-sikkerhedsledelse (ISMS, Information Security Management Systems) og ISO 27002 beskriver "Code of practice". Hvis man som virksomhed ønsker at have ISO-certificeret informationssikkerhed, kan man søge certificering i ISO 27001, og ikke i ISO 27002.

Ønsker I at blive ISO 27001-certificeret?

NorthGRC hjælper virksomheder med at opbygge og vedligeholde et ISMS, der lever op til ISO 27001-kravene. Book en gratis demo og se, hvordan platformen kan accelerere jeres certificeringsforløb. Du kan også læse om vores konsulentydelser her.

Dansk Standard DS 484:2005

DS 484 var i en årrække de facto standard for it-sikkerhedsimplementering i stat, kommune og mange virksomheder. DS 484 er udfaset til fordel for ISO 27001. Staten, som tidligere har haft et egentligt krav om DS 484, har forlængst valgt at kræve ISO 27001 i stedet.

Forskelle mellem ISO 27001 og DS 484

DS 484 var en ren dansk standard, hvor ISO 27001 er international. Men der er også faglige forskelle mellem de to standarder:

• ISO 27001 stiller specifikke krav til ISMS. Eksempler er krav til politik, risikovurdering, intern audit og opfølgning, ikke mindst fra ledelsens side. Disse krav findes ikke så konkrete i DS 484 (eller i ISO 27002).
• I et ISO 27001-projekt udarbejdes et "Statement of Applicability. Her kan organisationen, med passende forretningsbegrundelse, vælge ikke at indføre en sikringsforanstaltning.
• I DS 484 var også implementeringsretningslinjer formuleret som absolutte krav, idet ordet "skal" indgik i alle implementeringsretningslinjer. Dette medfører, at de 135 sikringsforanstaltninger suppleres med ca. 600 krav, hvoraf en del kaldes skærpede krav (disse er markeret med en *).

ISO’en er således mere omfattende på ledelsesområdet, hvor DS 484 havde mere omfattende krav til konkrete sikringsforanstaltninger. Lidt populært kan man vel sige, at i DS 484 var en checklistestandard, hvor man "slap for at tage stilling til sit behov", og at ISO’en bedre kan tilpasses et individuelt behov.