Hvad er ISO 27001?
ISO 27001 er en international standard til etablering af et ledelsessystem for informationssikkerhed. Standarden tager udgangspunkt i en risikobaseret tilgang til styring af informationssikkerhed.
ISO 27001 er valgt som statslig sikkerhedsstandard og har været obligatorisk at følge for statslige institutioner siden januar 2014. Standarden skulle være implementeret af myndighederne primo 2016.
ISO 27000-serien består af en række standarder med indbyrdes relationer. Nogle af disse standarder opstiller krav (normative), mens andre er vejledende i forhold til forskellige aspekter af implementering af et ledelsessystem for informationssikkerhed. Eksempelvis indeholder ISO 27002 en liste af foranstaltninger, der kan bruges som hjælp ved udvælgelsen og implementeringen af de kontroller, der er nødvendige for at opnå passende informationssikkerhed i en given organisation. ISO 27005 indeholder retningslinjer for risikovurdering og styring. Det er kun Iso 27001, der er obligatorisk for de statslige myndigheder at implementere.
Hvorfor ISO 27001?
Der er flere grunde til valget af ISO 27001 som sikkerhedsstandard:
- Standarden tager udgangspunkt i den enkelte institutions risikoprofil og lægger op til, at der implementeres netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte institution
- ISO 27001-standarden lægger stor vægt på ledelsens engagement og bevidste stillingtagen til hvilke procedurer, der skal indføres og hvordan.
- Standarden indeholder en liste af mulige kontroller, der kan indføres for at opnå et passende sikkerhedsniveau, men den lægger vægt på, at listen ikke er udtømmende, så der kan være organisationer, der skal implementere flere eller andre kontroller. Det fordrer en vis grad af modenhed i den organisation, der anvender ISO 27001, men giver også mulighed for løbende tilpasning i takt med ændringer i organisationen, teknologi og trusselsbilledet.
- Den internationale standard har en fleksibilitet i forhold til, at den kan anvendes sammen med andre rammeværk for informationssikkerhed som f.eks. CoBit eller ISF standard of good practice.
- ISO 27001 er en international standard, hvilket letter samarbejdet med andre lande og i højere grad sikrer den nødvendige vedligeholdelse af standarden. Vedligeholdelse af ISO-standarder varetages af internationalt sammensatte ekspertgrupper, der med jævne mellemrum vurderer behovet for revision.
Standard sikrer ensartede sikkerhedsprocesser
Brug af en fællesstatslig sikkerhedsstandard går tilbage til 2004, hvor den daværende regering besluttede at indføre en fælles standard for informationssikkerhed i staten, DS484. Det var primært for at sikre et ensartet højt sikkerhedsniveau, så borgerne kunne føle sig trygge ved den digitale forvaltning.
På det tidspunkt var ISO-standarderne ikke så udbyggede, som de er i dag, og der blev derfor udarbejdet en dansk standard, der imødekom behovet for forbedring af informationssikkerheden i Danmark. I dag bliver DS484 ikke længere vedligeholdt og er derfor udfaset til fordel for ISO 27001.