ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent
Størrelse: px
Starte visningen fra side:

Download "ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304"

Transkript

1 1

2 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent Deltaget i det internationale arbejde omkring revisionen af ISO/IEC og 27002, bl.a. som editor. 2

3 ISO/IEC 27001:2013 versus 27001:2005 Fra Informationssikkerhed til Forretningssikkerhed 3

4 ISO/IEC 27001:2013 versus 27001:2005 Mere risikoorienteret Mere værdikæde tænkning Mere up-to-date (strukturer og teknologier) Mere forretningsorienteret Mere holistisk (information er mangeartet - ikke kun IT) Mindre rigid Mindre checklist Mindre tung Mindre statisk Mindre sort-hvid 4

5 Overblik og status over ISO/IEC 27XXX-serien Der var her det hele startede i ISO/IEC The Use and Application of ISO/IEC for Sector/Service-Specific Third-Party Accredited Certifications Health informatics -- Information security management in health using ISO/IEC TR Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry 5

6 Indholdsfortegnelse i ISO/IEC 27001: Indledning 1. Anvendelsesområde 2. Normative referencer 3. Termer og definitioner 4. Virksomhedens rammer, interessenternes behov, ISMSs omfang 5. Ledelse, engagement, politikker, roller og ansvar 6. ISMS målsætninger, planlægning, vurdering og håndtering af risici 7. Support, ressourcer, kompetencer, bevidsthed, kommunikation, dokumentation 8. Drift, planlægning og styring, løbende vurdering og håndtering af risici 9. Målinger, interne audits, ledelsesevaluering 10. Forbedringer, korrigerende handlinger og løbende forbedringer 6

7 Ændringer i ISO/IEC 27001:2013 Forretnings- og risikovinklet, kontra alene (it-)sikkerhedsvinklet Mere ledelsesvenlig kontra teknisk orienteret. Følger den nye standardstruktur for ledelsesstandarder (som den første). Alle ledelsesstandarders vil overgå til samme struktur og vil kunne lettere integreres, uagtet emne (fx kvalitet, miljø, informationssikkerhed etc.) Risikovurderingsmetode udeladt, i stedet henvises der til ISO/IEC Informationssikkerhed - Risikoledelse samt ISO Risikoledelse - Principper og vejledning Annex A indgår forsat som en normativ part med 114 potentielle sikkerhedsfremmende foranstaltninger (mod tidligere 133). Annex A er (forsat) en opsummering af vejledningerne beskrevet i ISO/IEC

8 Tankerne og målene bag revideringen 8

9 2013 versionerne - sammen eller hver for sig ISO/IEC Krav Inspiration ISO/IEC Vejledning Andre guidelines Uadskillelige Annex A - Referencestyringsmål og foranstaltninger Implementering Andre normkrav 9

10 Sikkerhed skal facilitere, ikke minimere 10

11 Facilitere Informationssikkerhedsledelse skal indfri kundernes1) forventning til tryghed og vished og organisationens produktivitet og effektivitet, derfor skal informationssikkerhed have forretningsrettet bredde og relevans. 1) Samt lovgivning og alle øvrige interessenter

12 Den ene kan ikke leve uden den anden Aktualitet: Tryghed, vished, effektivt og produktivt Risikoorienteret: Forretningsrettet bredde og relevans

13 Virksomhed Kunde Virksomhed Kunde Virksomhed Kunde Forventning og indfrielse

14 Forretningsprocesserne skal være rygraden i sikkerhedsarbejdet Årsag Resultat.. derfor skal der tænkes holistisk

15 Ex: Statens Serum Institut Hændelse: danskeres helbredsoplysninger inkl. diagnosekoder udleveret Årsag: Kontaktoplysninger på 215 danskere, ud af internationalt ønskes Forklaring: Lovgivning er overholdt Kunne hændelsen have været undgået ved brugen af ISO/IEC 27001? 15

16 Et par tips Skab fælles referenceramme fx ved at lade ledelsen læse Glid ikke i bananskrællen Vælg en risikovurderingsmetode, som passer til organisationen og forretningen er forståelig og anvendelig for brugerne er let at dokumentere og opdatere Etabler en ledelsesgruppe, med det formål at: prioritere forventninger og afhængigheder (outside in) kortlægge forretningskritiske områder (top down) effektuere risikovurderinger, dokumenter og implementer udbedringer Kvartårlig opdatering brug PDCA cirklen vurder forretningsmæssige forandringer og erfaringer informer og påmind organisationen Systematiser og stukturer arbejdet efter ISO/IEC Benyt ISO/IEC og andre standarder til inspiration 16

17 TAK Niels Madelung Dansk Standard Bliv opdateret med de reviderede udgaver af ISO/IEC og ISO/IEC for informationssikkerhed DS 21. november 17

Relaterede dokumenter
2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback