Overblik over cyber- og informationssikkerhedsstandarder

Foranstaltninger til styring af informationssikkerhed

ISO/IEC 27002 Information technology – Security techniques – Code of practice for information security controls.

Hvad er værdien af at anvende standarden?

ISO/IEC 27002 er en vejledende standard, som knytter sig til den internationale ledelsesstandard for informationssikkerhed, ISO/IEC 27001. Formålet med standarden er, at organisationer kan anvende den til at udvælge de foranstaltninger, der er rigtige for organisationen, til at implementere et ledelsessystem for informationssikkerhed (ISMS) baseret på ISO/IEC 27001.

ISO/IEC 27002 indeholder 114 foranstaltninger, som omfatter anbefalinger til politikker, processer, procedurer, organisationsstrukturer samt software- og hardware-funktioner. En organisation udvælger på basis af risikoprofilen de foranstaltninger, der er relevante for dem at implementere. De 114 foranstaltninger knytter sig til kontrolmålene i ISO/IEC 27001 (i Anneks A). På den måde kan standarden anvendes som en tjekliste til at implementere ISO/IEC 27001.

Der er en ny udgave af ISO/IEC 27002 på vej, som forventes at blive publiceret senest i 2022. I den nye udgave forventes det, at der vil være færre foranstaltninger, og at de vil være inddelt i fire temaer: organisatoriske, tekniske, fysiske og adfærdsmæssige foranstaltninger.

Er standarden relevant for dig?

Hvis din organisation har brug for en systematisk tilgang til at beskytte informationer, bør du overveje at kigge nærmere på ISO/IEC 27002.

ISO/IEC 27002 er relevant for alle, der gerne vil implementere den internationale ledelsesstandard for informationssikkerhed, ISO/IEC 27001, og har brug for vejledning til, hvordan man udvælger de korrekte foranstaltninger til at implementere et ledelsessystem for informationssikkerhed. Standarden kan samtidigt bruges som generel inspiration til, hvilke foranstaltninger man bør overveje at implementere, hvis man ønsker at forbedre sin organisations niveau af informationssikkerhed. Standarden henvender sig til alle typer og størrelser af organisationer, private såvel som offentlige.

Hvordan anvendes standarden?

ISO/IEC 27002 kan benyttes som inspirationskilde til at udpege og etablere de for organisationen relevante foranstaltninger. Standarden kan med fordel anvendes som værktøjskasse til risikohåndtering sammen med kravstandarden ISO/IEC 27001, og den vejledende standard for risikostyring ISO/IEC 27005.


Mere information

 

Hvordan kommer jeg videre?

De fleste organisationer vil kunne finde nyttig inspiration og vejledning i standarderne, som kan forbedre deres cyber- og informationssikkerhed, også uden at følge standarderne fra ende til anden. Alle standarderne kan købes i Dansk Standards webshop. Dansk Standard tilbyder desuden kurser og rådgivning i de fleste af de beskrevne standarder.

Behov for hjælp til de mange begreber?

Den engelsksprogede version af terminologistandarden ISO/IEC 27000 kan downloades gratis via dette link på ISO’s hjemmeside. I denne standard kan du blive klogere på terminologien og definitionerne, der ligger til grund for ISO/IEC 27000-seriens ledelsessystem for informationssikkerhed. Hvis du ønsker standarden med danske oversættelser, kan den købes i vores webshop, hvor du selvfølgelig også finder de øvrige beskrevne standarder.

Mere om certificering

Certificering kræver en ekstern auditering, hvor organisationens efterlevelse af standardens krav gennemgås i dokumentationsform og med et fysisk besøg. Dansk Standard certificerer ikke, men bidrager gerne med rådgivning og viden om certificering.

Dansk, europæisk eller international standard?

De internationale standarder (ISO/IEC), er alle udgivet som danske standarder, der er fuldstændig identiske med de internationale. De har på Dansk Standards webshop derfor betegnelsen ”DS ISO/IEC” foran nummeret på standarden. Flere af standarderne er oversat til dansk - hvilke fremgår af webshoppen. Nogle af standarderne er ligeledes identisk implementeret på europæisk niveau, og har derfor også tilføjet “EN” i titlen; DS EN ISO/IEC. Den europæiske implementering betyder, at ingen EU-lande må have nationale standarder, der er overlappende eller i modstrid med de internationale standarder.

 

Hvis du har spørgsmål, er du altid velkommen til at kontakte vores informationscenter.

 

Dansk Standard har et udvalg for cyber- og informationssikkerhed, hvor medlemmerne får indsigt i kommende standarder og mulighed for at påvirke det internationale standardiseringsarbejde. Du kan læse mere om udvalget her.

 

Klik her for at downloade al information om standarder for cyber- og informationssikkerhed i én samlet fil.

Kontakt

Astrid Bækby Knudsen
Astrid Bækby Knudsen Standardiseringskonsulent | Standardisation Consultant
Sekretariater, udvalg og netværk II
E: abk@ds.dk
T: 39966206
Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39966296
Kim Skov Hilding
Kim Skov Hilding Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: ksk@ds.dk
T: 39966217

Løsningen kan tilgås via browsere fra Google Chrome, Safari, Firefox og Microsoft Edge, men ikke fra Internet Explorer 11.