Hvad betyder ISO 27001?
For det første er det vigtigt at bemærke, at det fulde navn på ISO 27001 er “ISO / IEC 27001 – Informationsteknologi – Sikkerhedsteknikker – Informationssikkerhedsstyringssystemer – Krav. ”
Det er den førende internationale standard med fokus på informationssikkerhed, udgivet af International Organization for Standardization (ISO) i partnerskab med Den Internationale Elektrotekniske Kommission (IEC). Begge er førende internationale organisationer, der udvikle internationale standarder.
ISO-27001 er en del af et sæt standarder udviklet til håndtering af informationssikkerhed: ISO / IEC 27000-serien.
Hvad er formålet med ISO 27001?
ISO 27001 blev udviklet til at hjælpe organisationer i enhver størrelse eller enhver industri med at beskytte deres information på en systematisk og omkostningseffektiv måde gennem vedtagelsen af et informationssikkerhedsstyringssystem (ISMS).
Hvorfor er ISO 27001 vigtig?
Standarden leverer ikke kun ledsager med den nødvendige viden til at beskytte deres mest værdifulde information, men en virksomhed kan også blive certificeret mod ISO 27001 og på denne måde bevise over for sine kunder og partnere, at den beskytter deres data.
Enkeltpersoner kan også blive ISO 27001-certificeret ved at gå på et kursus og bestå eksamen og på denne måde bevise deres evner for potentielle arbejdsgivere.
Fordi det er en international standard, ISO 27001 genkendes let overalt i verden, hvilket øger forretningsmulighederne for organisationer og fagfolk.
Hvad er de 3 ISMS-sikkerhedsmål?
Det grundlæggende mål med ISO 27001 er at beskytte tre aspekter af information:
- Fortrolighed: kun de autoriserede personer har ret til at få adgang til oplysninger.
- Integritet: kun de autoriserede personer kan ændre oplysningerne.
- Tilgængelighed: oplysningerne skal være tilgængelige for autoriserede personer, når det er nødvendigt.
Hvad er et ISMS?
Et informationssikkerhedsstyringssystem (ISMS) er et sæt regler, som en virksomhed skal etablere for at:
- identificere interessenter og deres forventninger til virksomheden med hensyn til informationssikkerhed
- identificere hvilke risici der findes for informationen
- definere kontroller (beskyttelsesforanstaltninger) og andre afbødningsmetoder for at imødekomme de identificerede forventninger og håndtere risici
- sætte klare mål for, hvad der skal opnås med informationssikkerhed
- implementere alle kontroller og andre risikobehandlingsmetoder
- måle kontinuerligt, hvis de implementerede kontroller fungerer som forventet
- foretage løbende forbedringer for at gøre hele ISMS arbejde bedre
Dette regelsæt kan skrives ned i form af politikker, procedurer og andre typer dokumenter, eller det kan være i form af etablerede processer og teknologier, der ikke er dokumenteret. ISO 27001 definerer, hvilke dokumenter der kræves, dvs. hvilke der skal eksistere som minimum.
Hvorfor har vi brug for ISMS?
Der er fire vigtige forretningsfordele, som et firma kan opnå med implementeringen af denne informationssikkerhedsstandard:
Overhold de juridiske krav – der er et stadigt stigende antal love, regler og kontraktmæssige krav relateret til informationssikkerhed, og den gode nyhed er at de fleste af dem kan løses ved at implementere ISO 27001 – denne standard giver dig den perfekte metode til at overholde dem alle.
Opnå konkurrencemæssig fordel – hvis din virksomhed bliver certificeret, og dine konkurrenter ikke gør det, kan du have en fordel i forhold til dem i øjnene på de kunder, der er følsomme over for at holde deres oplysninger sikre.
Lavere omkostninger – den vigtigste filosofi i ISO 27001 er at forhindre sikkerhedshændelser i at ske – og enhver hændelse, stor som lille, koster penge. Derfor sparer din virksomhed en hel del penge ved at forhindre dem. Og det bedste af alt – investering i ISO 27001 er langt mindre end de omkostningsbesparelser, du opnår.
Bedre organisation – typisk hurtigt voksende virksomheder har ikke tid til at stoppe og definere deres processer og procedurer – som en konsekvens ved det ofte, at medarbejderne ikke ved, hvad der skal gøres, hvornår, og af hvem. Implementering af ISO 27001 hjælper med at løse sådanne situationer, fordi det tilskynder virksomheder til at nedskrive deres hovedprocesser (selv dem, der ikke er sikkerhedsrelaterede), hvilket gør dem i stand til at reducere tabt tid af deres medarbejdere.
Hvordan fungerer ISO 27001?
Fokus ved ISO 27001 er at beskytte fortroligheden, integriteten og tilgængeligheden af oplysningerne i en virksomhed. Dette gøres ved at finde ud af, hvilke potentielle problemer der kan ske med informationen (dvs., risikovurdering) og derefter definere, hvad der skal gøres for at forhindre, at sådanne problemer opstår (dvs. risikoreduktion eller risikobehandling).
Derfor er ISO 27001s hovedfilosofi baseret på en proces til styring af risici: Find ud af, hvor risiciene er, og behandl dem derefter systematisk gennem implementering af sikkerhedskontrol (eller sikkerhedsforanstaltninger).
ISO 27001 kræver, at en virksomhed angiver alle kontroller, der skal implementeres i et dokument kaldet Erklæring om anvendelighed.
Hvad er kravene til ISO 27001?
De obligatoriske krav til ISO 27001 er defineret i klausulerne 4 til 10 – det betyder, at alle disse krav skal implementeres i en organisation, hvis den ønsker at overholde standarden. Kontroller fra bilag A skal kun implementeres, hvis de erklæres som relevante i erklæringen om anvendelighed.
Kravene fra afsnit 4 til 10 kan sammenfattes som følger:
Klausul 4: Kontekst af organisationen – definerer krav til forståelse af eksterne og interne problemer, interesserede parter og deres krav og definerer ISMS-omfanget.
Klausul 5: Ledelse – definerer topledelsesansvar, indstilling af roller og ansvarsområder og indhold i topsikkerhedspolitikken for informationssikkerhed.
Klausul 6: Planlægning – definerer krav til risikovurdering, risikobehandling, erklæring om anvendelighed, risikobehandlingsplan og indstilling af informationssikkerhedsmål.
Klausul 7: Support – definerer krav for tilgængelighed af ressourcer, kompetencer, bevidsthed, kommunikation og kontrol af dokumenter og optegnelser.
Klausul 8: Drift – definerer implementeringen af risikovurdering og behandling samt kontrol og andre processer, der er nødvendige for at nå informationssikkerhedsmål.
Klausul 9: Ydelsesevaluering – definerer krav til overvågning, måling, analyse, evaluering, intern revision og ledelsesgennemgang.
Klausul 10: Forbedring – definerer krav til afvigelser, korrektioner, korrigerende handlinger og kontinuerlig forbedring.
Hvad er de 14 domæner i ISO 27001?
Der er 14 “domæner” anført i bilag A til ISO 27001, organiseret i sektion A.5 til A.18. Afsnittene dækker følgende:
A.5 Informationssikkerhedspolitikker: Kontrollerne i dette afsnit beskrive, hvordan man håndterer politikker for informationssikkerhed.
A.6 Organisation af informationssikkerhed: Kontrollerne i dette afsnit giver den grundlæggende ramme for implementering og drift af informationssikkerhed ved at definere dens interne organisation (f.eks. roller , ansvar osv.) og gennem de organisatoriske aspekter af informationssikkerhed, såsom projektstyring, brug af mobile enheder og fjernarbejde.
A.7 Human resource security: Kontrollerne i dette afsnit sikrer, at mennesker, der er under organisationens kontrol, hyres, trænes og styres på en sikker måde; også pr disciplinære handlinger og opsigelse af aftalerne behandles.
A.8. Aktivstyring: Kontrollerne i dette afsnit sikrer, at informationssikkerhedsaktiver (f.eks. Information, behandlingsenheder, lagerenheder osv.) Identificeres, at ansvaret for deres sikkerhed er udpeget, og at folk ved, hvordan de skal håndtere dem i henhold til foruddefineret klassificering niveauer.
A.9. Adgangskontrol: Kontrolelementerne i dette afsnit begrænser adgangen til informations- og informationsaktiver i henhold til reelle forretningsbehov. Kontrolelementerne er til både fysisk og logisk adgang.
A.10. Kryptografi: Kontrollerne i dette afsnit danner grundlaget for korrekt brug af krypteringsløsninger for at beskytte fortrolighed, ægthed og / eller integritet af information.
A.11. Fysisk og miljømæssig sikkerhed: Kontrollerne i dette afsnit forhindrer uautoriseret adgang til fysiske områder og beskytter udstyr og faciliteter fra at blive kompromitteret af menneskelig eller naturlig indgriben.
A.12. Driftssikkerhed: Kontrolelementerne i dette afsnit sikrer, at it-systemerne, herunder operativsystemer og software, er sikre og beskyttet mod datatab. Derudover kræver kontrol i dette afsnit midlerne til at registrere begivenheder og generere bevismateriale, periodisk verifikation af sårbarheder og træffe forholdsregler for at forhindre, at revisionsaktiviteter påvirker operationer.
A.13. Kommunikationssikkerhed: Kontrolelementerne i dette afsnit beskytter netværksinfrastrukturen og tjenesterne samt informationen, der bevæger sig igennem dem.
A.14. Systemopsamling, udvikling og vedligeholdelse: Kontrollerne i dette afsnit sikrer, at der tages højde for informationssikkerhed, når du køber nye informationssystemer eller opgraderer de eksisterende.
A.15.Leverandørrelationer: Kontrollerne i dette afsnit sikrer, at outsourcede aktiviteter, der udføres af leverandører og partnere, også bruger passende informationssikkerhedskontrol, og de beskriver, hvordan man overvåger tredjeparts sikkerhedsydelse.
A.16. Administration af informationssikkerhedshændelser: Kontrollerne i dette afsnit giver en ramme for at sikre korrekt kommunikation og håndtering af sikkerhedshændelser og hændelser, så de kan løses rettidigt; de definerer også, hvordan man bevarer beviser, samt hvordan man lærer af hændelser for at forhindre deres gentagelse.
A.17. Informationssikkerhedsaspekter ved forretningskontinuitetsstyring: Kontrolelementerne i dette afsnit sikrer kontinuitet i informationssikkerhedsstyring under forstyrrelser og tilgængeligheden af informationssystemer.
A.18. Overholdelse: Kontrollerne i dette afsnit giver en ramme for at forhindre juridiske, lovbestemte, lovgivningsmæssige og kontraktmæssige overtrædelser og kontrollere, om informationssikkerhed er implementeret og er effektiv i henhold til de definerede politikker, procedurer og krav i ISO 27001-standarden.
Et nærmere kig på disse domæner viser os, at styring af informationssikkerhed ikke kun handler om it-sikkerhed (dvs. firewalls, antivirus osv.), men også om styring af processer, juridisk beskyttelse, styring af menneskelige ressourcer, fysisk beskyttelse osv.
Hvad er ISO 27001-kontrollerne?
ISO 27001-kontrollerne (også kendt som sikkerhedsforanstaltninger) er den praksis, der skal implementeres for at reducere risici til acceptable niveauer. Kontroller kan være tekniske, organisatoriske, juridiske, fysiske, menneskelige osv.
Hvor mange kontroller er der i ISO 27001?
ISO 27001 Bilag A viser 114 kontroller organiseret i de 14 sektioner nummereret A.5 til A.18, der er anført ovenfor.
Hvordan implementerer du ISO 27001-kontroller?
Tekniske kontroller implementeres primært i informationssystemer ved hjælp af software, hardware og firmwarekomponenter føjes til systemet. For eksempel. backup, antivirussoftware osv.
Organisatoriske kontroller implementeres ved at definere regler, der skal følges, og forventet adfærd fra brugere, udstyr, software og systemer. For eksempel. Adgangskontrolpolitik, BYOD-politik osv.
Juridisk kontrol implementeres ved at sikre, at regler og forventet adfærd følger og håndhæver de love, forskrifter, kontrakter og andre lignende juridiske instrumenter, som organisationen skal overholde. For eksempel. NDA (ikke-afsløringsaftale), SLA (serviceniveauaftale) osv.
Fysiske kontroller implementeres primært ved hjælp af udstyr eller enheder, der har en fysisk interaktion med mennesker og objekter. For eksempel. CCTV-kameraer, alarmsystemer, låse osv.
Menneskelige ressourcekontrol implementeres ved at give viden, uddannelse, færdigheder eller erfaring til personer, så de kan udføre deres aktiviteter på en sikker måde. For eksempel. træning i sikkerhedskendskab, ISO 27001 intern revisortræning osv.
ISO 27001 obligatoriske dokumenter
ISO 27001 specificerer et minimumssæt af politikker, procedurer, planer, optegnelser og andre dokumenterede oplysninger, der er nødvendige for at blive kompatible.
ISO 27001 kræver, at følgende dokumenter skrives:
Og det er de obligatoriske poster:
Selvfølgelig kan en virksomhed beslutte at skrive yderligere sikkerhedsdokumenter hvis det finder det nødvendigt.
For at se en mere detaljeret forklaring af hvert af disse dokumenter skal du downloade den gratis hvidbogscheckliste for obligatorisk dokumentation krævet af ISO 27001 (2013-revision).
Hvor meget koster ISO 27001 ?
Omkostningerne til implementering og certificering af ISMS vil afhænge af størrelsen og kompleksiteten af ISMS-omfanget, som varierer fra organisation til organisation. Omkostningerne afhænger også af de lokale priser på de forskellige tjenester, du vil bruge til implementeringen.
Generelt set er dette nogle af de omkostninger, du skal overveje:
- Uddannelse og litteratur
- Ekstern bistand
- Teknologier skal opdateres / implementeres
- Medarbejdernes indsats og tid
- Certificeringsorganets omkostninger
For at se en mere detaljeret forklaring af certificeringen omkostninger, download det gratis hvidbog Hvordan budgetteres et ISO 27001-implementeringsprojekt.
Hvad er “ISO 27001-certificeret”?
En virksomhed kan gå til ISO 27001-certificering ved at invitere en akkrediteret certificeringsorgan til at udføre certificeringsrevisionen og, hvis revisionen er vellykket, at udstede ISO 27001-certifikatet til virksomheden. Dette certifikat vil betyde, at virksomheden overholder ISO 27001-standarden fuldt ud.
En person kan gå til ISO 27001-certificering ved at gennemgå ISO 27001-træning og bestå eksamen. Dette certifikat vil betyde, at denne person har tilegnet sig de relevante færdigheder i løbet af kurset.
Hvor længe gælder ISO 27001 for en gang certificeret?
Når et certificeringsorgan udsteder et ISO 27001-certifikat til en virksomhed, er det gyldigt i en periode på tre år, hvor certificeringsorganet udfører overvågningsrevisioner for at evaluere, om organisationen opretholder ISMS korrekt, og om nødvendigt implementeres forbedringer i god tid.
Hvilke virksomheder er ISO 27001-certificerede?
ISO.org-webstedet giver en generel oversigt over certificerede organisationer, kategoriseret efter branche, land, antal websteder osv. Du kan finde ISO-undersøgelse på dette link: https://www.iso.org/the-iso-survey.html.
For at kontrollere om en bestemt virksomhed er ISO 27001-certificeret, skal du kontakte certificeringsorganet, fordi der ikke er nogen officiel centraliseret database over certificerede virksomheder.
Kan en person være ISO-certificeret?
Ja, en person kan blive ISO 27001-certificeret ved at deltage i en eller flere af de følgende kurser og ved at bestå eksamen:
- ISO 27001 Lead Implementer Course – denne træning er beregnet til avancerede praktikere og konsulenter.
- ISO 27001 Lead Auditor Course – denne uddannelse er beregnet til revisorer i certificering organer og for konsulenter.
- ISO 27001 internt revisorkursus – denne uddannelse er beregnet til folk, der udfører interne revisioner i deres virksomhed.
- ISO 27001 Foundations Course – denne træning er beregnet til folk, der ønsker at lære det grundlæggende i standarden og de vigtigste trin i implementeringen.
Hvad er ISO 27000-standarder?
Fordi det definerer kravene til et ISMS, er ISO 27001 den vigtigste standard i ISO 27000-standardfamilien. Men fordi den primært definerer, hvad der er behov for, men ikke specificerer, hvordan man gør det, er der udviklet adskillige andre informationssikkerhedsstandarder for at give yderligere vejledning. I øjeblikket er der mere end 40 standarder i ISO27k-serien, og de mest anvendte er som følger:
ISO / IEC 27000 indeholder termer og definitioner, der anvendes i ISO 27k-serien.
ISO / IEC 27002 giver retningslinjer for implementering af kontroller, der er anført i ISO 27001 bilag A. Det kan være ret nyttigt, fordi det indeholder detaljer om, hvordan disse kontroller implementeres.
ISO / IEC 27004 giver retningslinjer for måling af informationssikkerhed – det passer godt med ISO 27001, fordi det forklarer, hvordan man bestemmer, om ISMS har nået sine mål.
ISO / IEC 27005 indeholder retningslinjer for informationssikkerhedsrisikostyring. Det er et meget godt supplement til ISO 27001, fordi det giver detaljer om, hvordan man udfører risikovurdering og risikobehandling, sandsynligvis det sværeste trin i implementeringen.
ISO / IEC 27017 indeholder retningslinjer for informationssikkerhed i skymiljøer.
ISO / IEC 27018 indeholder retningslinjer for beskyttelse af privatlivets fred i skymiljøer.
ISO / IEC 27031 giver retningslinjer for, hvad man skal overveje, når man udvikler forretningskontinuitet for informations- og kommunikationsteknologi (IKT). Denne standard er en god forbindelse mellem informationssikkerhed og forretningskontinuitetspraksis.
Hvad er den aktuelle version af ISO 27001?
Fra udgivelsesdatoen for denne artikel er den aktuelle version af ISO 27001 er ISO / IEC 27001: 2013.
Den første version af ISO 27001 blev frigivet i 2005 (ISO / IEC 27001: 2005), den anden version i 2013, og standarden blev sidst revideret i 2019 , da 2013-versionen blev bekræftet (dvs. ingen ændringer var nødvendige).
Det er vigtigt at bemærke, at forskellige lande, der er medlemmer af ISO, kan oversætte standarden til deres egne sprog og tilføje mindre tilføjelser (f.eks. , nationale forord), der ikke påvirker indholdet af den internationale version af standarden. Disse “versioner” har yderligere bogstaver for at skelne dem fra den internationale standard, f.eks. Betegner NBR ISO / IEC 27001 den “brasilianske version”, mens BS ISO / IEC 27001 betegner den “britiske version.” Disse lokale versioner af standarden indeholder også året, hvor de blev vedtaget af det lokale standardiseringsorgan, så den seneste britiske version er BS EN ISO / IEC 27001: 2017, hvilket betyder, at ISO / IEC 27001: 2013 blev vedtaget af British Standards Institution i 2017.
Hvad er forskellen mellem ISO 27001 og 27002?
ISO 27001 definerer kravene til et informationssikkerhedsstyringssystem (ISMS), mens ISO 27002 giver vejledning om implementeringen af kontroller fra ISO 27001 bilag A.
Med andre ord, for hver kontrol giver ISO 27001 kun en kort beskrivelse, mens ISO 27002 giver detaljeret vejledning.
Hvad er forskellen mellem NIST og ISO 27001?
Selvom ISO 27001 er en international standard, er NIST et amerikansk regeringsagentur, der fremmer og opretholder målestandarder i USA – blandt dem SP 800-serien, et sæt dokumenter, der specificerer bedste praksis for informationssikkerhed.
Selvom de ikke er de samme, kan NIST SP 800-serien og ISO 27001 bruges sammen til implementering af informationssikkerhed.
Er ISO 27001 obligatorisk?
I de fleste lande er implementering af ISO 27001 ikke obligatorisk. Nogle lande har dog offentliggjort regler, der kræver, at visse brancher implementerer ISO 27001.
For at afgøre, om ISO 27001 er obligatorisk for din virksomhed, skal du søge juridisk ekspertrådgivning i det land, hvor du opererer.
Hvad er ISO 27001-kontrollerne?
Offentlige og private organisationer kan definere overholdelse af ISO 27001 som et lovkrav i deres kontrakter og serviceaftaler med deres udbydere. Som nævnt ovenfor kan lande endvidere definere love eller regler, der gør vedtagelsen af ISO 27001 til et lovkrav, der skal opfyldes af de organisationer, der opererer på deres område.
For at lære mere om EUs GDPR, og hvorfor det gælder for hele verden, se denne artikel.