Hvad er ISO 27000 – serien af standarder?
ISO / IEC 270001-familien af standarder, også kendt som ISO 27000-serien, er en række bedste fremgangsmåder til at hjælpe organisationer med at forbedre deres informationssikkerhed.
udgivet af ISO (Den Internationale Organisation for standardisering) og IEC (International Electrotechnical Commission), forklarer serien, hvordan man implementerer bedste praksis for informationssikkerhed.
an.,
det gør dette ved at fastsætte isms (information security management system) krav.
en ISMS er en systematisk tilgang til risikostyring, der indeholder foranstaltninger, der adresserer de tre søjler i informationssikkerhed: mennesker, processer og teknologi.
serien består af 46 individuelle standarder, herunder ISO 27000, som giver en introduktion til familien samt afklaring af nøgleord og definitioner.,
du behøver ikke en omfattende forståelse af ISO-standarder for at se, hvordan serien fungerer, og nogle vil ikke være relevante for din organisation, men der er et par centrale, som du skal være bekendt med.
ISO 27001
Dette er den centrale standard i ISO 27000-serien, der indeholder implementeringskravene til en ISMS.
Dette er vigtigt at huske, da ISO IEC 27001: 2013 er den eneste standard i serien, som organisationer kan revideres og certificeres mod.,
det er fordi det indeholder en oversigt over alt, hvad du skal gøre for at opnå overholdelse, som udvides i hver af følgende standarder.
ISO 27002
Dette er en supplerende standard, der giver et overblik over informationssikkerhedskontroller, som organisationer kan vælge at implementere.
organisationer er kun forpligtet til at vedtage kontroller, som de anser for relevante – noget der vil blive tydeligt under en risikovurdering.,
kontrollerne er beskrevet i bilag A til ISO 27001, men mens dette i det væsentlige er en hurtig gennemgang, indeholder ISO 27002 en mere omfattende oversigt, der forklarer, hvordan hver kontrol fungerer, hvad dens mål er, og hvordan du kan implementere den.
ISO 27017 og ISO 27018
Disse supplerende ISO-standarder blev indført i 2015, forklarer, hvordan organisationer bør beskytte følsomme oplysninger i Skyen.
Dette er blevet særlig vigtigt for nylig, da organisationer migrerer meget af deres følsomme oplysninger til online-servere.,
ISO 27017 er en adfærdskodeks for informationssikkerhed, der giver ekstra information om, hvordan man anvender bilag A-kontrollerne på oplysninger, der er gemt i skyen.
under ISO 27001 har du valget mellem at behandle disse som et separat sæt kontroller. Så du vælger et sæt kontroller fra bilag A til dine ‘normale’ data og et sæt kontroller fra ISO 27017 til data i skyen.ISO 27018 fungerer stort set på samme måde, men med ekstra hensyn til personoplysninger.,
ISO 27701
Dette er den nyeste standard i ISO 27000-serien, der dækker, hvad organisationer skal gøre, når de gennemfører en PIMS (privacy information management system).
det blev oprettet som svar på GDPR (General Data Protection Regulation), som pålægger organisationer at vedtage “passende tekniske og organisatoriske foranstaltninger” for at beskytte personoplysninger, men angiver ikke, hvordan de skal gøre det.
ISO 27701 udfylder dette hul, hvilket i det væsentlige bolter privatlivsbehandlingskontroller på ISO 27001.
Hvorfor bruge en ISO 27000-serie standard?,
brud på datasikkerheden er en af de største risici for informationssikkerhed, som organisationer står over for. Følsomme data bruges på tværs af alle områder af virksomheder i disse dage, øge sin værdi for legitim og illegitim brug.
utallige hændelser forekommer hver måned, uanset om det er cyberkriminelle, der hacker ind i en database, eller medarbejdere mister eller misbruger information. Uanset hvor dataene går, kan de økonomiske og omdømme skader forårsaget af et brud være ødelæggende.,
derfor investerer organisationer i stigende grad kraftigt i deres forsvar ved at bruge ISO 27001 som retningslinje for effektiv sikkerhed.
ISO 27001 kan anvendes på organisationer af enhver størrelse og i enhver sektor, og rammens bredde betyder, at implementeringen altid vil være passende til virksomhedens størrelse.
Du kan finde ud af, hvordan du kommer i gang med standarden ved at læse informationssikkerhed & ISO 27001: en introduktion.,
Denne gratis grønbog forklarer:
- Hvad ISO 27001 er, hvordan et ISMS fungerer, og hvordan det relaterer til ISO 9001, ISO 27002 og andre standarder;
- betydningen af risikovurderinger og risikoen behandling planer;
- Hvordan den Standard, der hjælper dig med at opfylde din juridiske og lovmæssige forpligtelser; og
- Din revision og certificering krav.,
En version af denne blog var oprindeligt publiceret den 10. oktober 2019.
Anbefalet læsning:
- Hvad er forskellen mellem ISO 27000 og 27001