Vad är ISO 27000-seriens standarder?
ISO/IEC 270001-familjen av standarder, även känd som ISO 27000-serien, är en serie bästa metoder för att hjälpa organisationer att förbättra sin informationssäkerhet.
publicerad av ISO (International Organization for Standardization) och IEC (International Electrotechnical Commission), förklarar serien Hur man implementerar bästa praxis för informationssäkerhet.
an.,
det gör detta genom att ange isms (Information security management system) krav.
en ISMS är ett systematiskt tillvägagångssätt för riskhantering, som innehåller åtgärder som tar itu med de tre pelarna för informationssäkerhet: människor, processer och teknik.
serien består av 46 individuella standarder, inklusive ISO 27000, som ger en introduktion till familjen samt klargörande nyckeltermer och definitioner.,
du behöver inte en omfattande förståelse av ISO-standarder för att se hur serien fungerar, och vissa kommer inte att vara relevanta för din organisation, men det finns några kärnämnen som du bör känna till.
ISO 27001
detta är den centrala standarden i ISO 27000-serien, som innehåller implementeringskraven för en ISMS.
det här är viktigt att komma ihåg, eftersom ISO IEC 27001: 2013 är den enda standarden i serien som organisationer kan granskas och certifieras mot.,
det beror på att det innehåller en översikt över allt du måste göra för att uppnå överensstämmelse, vilket utökas i var och en av följande standarder.
ISO 27002
detta är en kompletterande standard som ger en översikt över informationssäkerhetskontroller som organisationer kan välja att genomföra.
organisationer är endast skyldiga att anta kontroller som de anser vara relevanta-något som kommer att framgå under en riskbedömning.,
kontrollerna beskrivs i bilaga A till ISO 27001, men medan detta i huvudsak är en snabb genomgång innehåller ISO 27002 en mer omfattande översikt som förklarar hur varje kontroll fungerar, vad dess mål är och hur du kan implementera det.
ISO 27017 och ISO 27018
dessa kompletterande ISO-standarder infördes 2015 och förklarar hur organisationer bör skydda känslig information i molnet.
detta har nyligen blivit särskilt viktigt eftersom organisationer migrerar mycket av sin känsliga information till online-servrar.,
ISO 27017 är en uppförandekod för informationssäkerhet som ger extra information om hur man tillämpar kontrollerna i bilaga A på information som lagras i molnet.
under ISO 27001 har du valet att behandla dessa som en separat uppsättning kontroller. Så du skulle välja en uppsättning kontroller från bilaga A för dina ”normala” data och en uppsättning kontroller från ISO 27017 för data i molnet.
ISO 27018 fungerar i huvudsak på samma sätt men med extra hänsyn till personuppgifter.,
ISO 27701
detta är den nyaste standarden i ISO 27000-serien, som täcker vilka organisationer som måste göra när man genomför ett PIMS (privacy information management system).
det skapades som svar på GDPR (General Data Protection Regulation), som instruerar organisationer att anta ”lämpliga tekniska och organisatoriska åtgärder” för att skydda personuppgifter men anger inte hur de ska göra det.
ISO 27701 fyller det gapet, i huvudsak bultning privacy processing kontroller på ISO 27001.
Varför använda en ISO 27000-serien standard?,
dataöverträdelser är en av de största riskerna för informationssäkerhet som organisationer står inför. Känsliga uppgifter används inom alla områden av företag i dessa dagar, vilket ökar dess värde för legitim och olaglig användning.
otaliga incidenter inträffar varje månad, oavsett om det är cyberbrottslingar hacka in i en databas eller anställda förlorar eller förskingra information. Varhelst uppgifterna går, kan den ekonomiska och anseendemässiga skada som orsakas av ett brott vara förödande.,
det är därför organisationer investerar i allt högre grad i sitt försvar, med hjälp av ISO 27001 som riktlinje för effektiv säkerhet.
ISO 27001 kan tillämpas på organisationer av alla storlekar och inom alla sektorer, och ramverkets bredhet innebär att genomförandet alltid kommer att vara lämpligt för företagets storlek.
Du kan ta reda på hur du kommer igång med standarden genom att läsa informationssäkerhet & ISO 27001: en introduktion.,
denna kostnadsfria grönbok förklarar:
- vad ISO 27001 är, hur ett ISMS fungerar och hur det gäller ISO 9001, ISO 27002 och andra standarder;
- vikten av riskbedömningar och riskbehandlingsplaner;
- hur standarden hjälper dig att uppfylla dina rättsliga och lagstadgade skyldigheter; och
- dina revisions-och certifieringskrav.,
en version av den här bloggen publicerades ursprungligen den 10 oktober 2019.
Rekommenderad läsning:
- vad är skillnaden mellan ISO 27000 och 27001