Informationssikkerhed bliver stadig mere standardiseret. Her får du et overblik over de internationale standarder, som har mest relevans for danske virksomheder.

Internationale standarder - overblik

27000 er International Organization for Standards (ISO) relativt nye nummerserie for internationale standarder om informationssikkerhed. Her er et lille overblik over de nuværende og kommende standarder:

 

ISO/IEC Beskrivelse
27000 Information security management systems - Overview and vocabular.
27001 Information security management systems - Requirements. På dansk og engelsk.
27002 Code of practice for information security management. Erstatter ISO17799 og DS484.
27003 ISMS Implementation Guidelines
27004 Information Security Management - Measurement. Effektivitetsmåling.
27005 ISMS Risk Management. Tager udgangspunkt i og erstatter de ældre og mindre udbredte ISO13335-standarder
27006 Krav til auditører: Requirements for bodies providing audit and certification of ISMS

ISO 27001 og ISO-certificering

ISO 27001 udkom i en opdateret udgave i slutningen af 2013. Det er en standard som er et "søsterdokument" til ISO 27002. ISO 27001 beskriver de konkrete krav til it-sikkerhedsledelse (ISMS, Information Security Management Systems) og ISO 27002 beskriver "Code of practice". Hvis man som virksomhed ønsker at have ISO-certificeret informationssikkerhed, kan man søge certificering i ISO 27001, og ikke i ISO 27002.

Dansk Standard DS 484:2005

DS 484 var i en årrække de facto standard for it-sikkerhedsimplementering i stat, kommune og mange virksomheder. DS 484 er udfaset til fordel for ISO 27001. Staten, som tidligere har haft et egentligt krav om DS 484, har forlængst valgt at kræve ISO 27001 i stedet.

Forskelle mellem ISO 27001 og DS 484

DS 484 var en ren dansk standard, hvor ISO 27001 er international. Men der er også faglige forskelle mellem de to standarder:

  • ISO 27001 stiller specifikke krav til ISMS. Eksempler er krav til politik, risikovurdering, intern audit og opfølgning, ikke mindst fra ledelsens side. Disse krav findes ikke så konkrete i DS 484 (eller i ISO 27002).
  • I et ISO 27001-projekt udarbejdes et "Statement of Applicability. Her kan organisationen, med passende forretningsbegrundelse, vælge ikke at indføre en sikringsforanstaltning.
  • I DS 484 var også implementeringsretningslinjer formuleret som absolutte krav, idet ordet "skal" indgik i alle implementeringsretningslinjer. Dette medfører, at de 135 sikringsforanstaltninger suppleres med ca. 600 krav, hvoraf en del kaldes skærpede krav (disse er markeret med en *).

ISO’en er således mere omfattende på ledelsesområdet, hvor DS 484 havde mere omfattende krav til konkrete sikringsforanstaltninger. Lidt populært kan man vel sige, at i DS 484 var en checklistestandard, hvor man "slap for at tage stilling til sit behov", og at ISO’en bedre kan tilpasses et individuelt behov.