Overblik over cyber- og informationssikkerhedsstandarder

Krav til et ledelsessystem for informationssikkerhed

ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements

Hvad er værdien af at anvende standarden?

Den internationale ledelsesstandard for informationssikkerhed, ISO/IEC 27001, hjælper organisationer med at strukturere arbejdet med forretningskritiske informationer og bidrager til at minimere risikoen for brud på informationssikkerheden, som kan true organisationens eksistensgrundlag. Derudover kan standarden anvendes til at dokumentere organisationens arbejde med beskyttelse af følsomme oplysninger - internt såvel som eksternt.

Standarden er et styringsværktøj, der hjælper organisationer med at beskytte værdifulde informationer - på en sikker og troværdig måde. Standarden opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.

Formålet med ISO/IEC 27001 er at opnå effektiv informationssikkerhedsledelse, der passer til organisationens særlige behov og herefter opretholde effektiviteten ved at sikre løbende forbedringer. Det betyder, at informationssikkerheden hele tiden opdateres, så organisationen er i stand til at håndtere udfordringerne i en verden under konstant forandring.

Standarden er desuden et godt afsæt til at håndtere kravene i Persondataforordningen (GDPR)

ISO/IEC 27001 er internationalt anerkendt og bliver brugt i hele verden.  Standarden bidrager til at skabe tillid til de organisationer, der anvender den, da det vidner om, at man arbejder struktureret med informationssikkerhed og kan fremvise dokumentation for arbejdet.

Er standarden relevant for dig?

Standarden er relevant for alle, der ligger inde med informationer, som ved kompromittering kan få betydelige konsekvenser for både overholdelse af lovgivning, organisationens aktiviteter, succes samt troværdighed og image. Statslige myndigheder er underlagt et krav om at implementere og arbejde systematisk efter ISO/IEC 27001, mens den øvrige del af den offentlige sektor er underlagt et krav om at følge principperne i standarden.

Hvordan anvendes standarden?

Standarden er en kravstandard til et ledelsessystem for informationssikkerhed. Har man i forvejen implementeret et ledelsessystem, som eksempelvis ISO 9001 for kvalitetsledelse, kan man drage fordel af, at man allerede kender opbygningen og ved hvordan man arbejder efter en ledelsesstandard. Der er en række tilhørende standarder inden for ISO/IEC 27000-serien, heriblandt de vejledende standarder ISO/IEC 27002 og ISO/IEC 27005, som kan hjælpe med, hvordan man skal gribe udfærdigelsen af ledelsessystemet for informationssikkerhed an.

Det er desuden muligt at blive certificeret i ISO/IEC 27001. En certificering øger organisationens troværdighed og signalerer en seriøs tilgang til informationssikkerhed. En certificering kan også være med til at give en konkurrencefordel, da organisationen synliggør overfor potentielle kunder, at informationssikkerhed tages alvorligt.


Mere information

 

Hvordan kommer jeg videre?

De fleste organisationer vil kunne finde nyttig inspiration og vejledning i standarderne, som kan forbedre deres cyber- og informationssikkerhed, også uden at følge standarderne fra ende til anden. Alle standarderne kan købes i Dansk Standards webshop. Dansk Standard tilbyder desuden kurser og rådgivning i de fleste af de beskrevne standarder.

Behov for hjælp til de mange begreber?

Den engelsksprogede version af terminologistandarden ISO/IEC 27000 kan downloades gratis via dette link på ISO’s hjemmeside. I denne standard kan du blive klogere på terminologien og definitionerne, der ligger til grund for ISO/IEC 27000-seriens ledelsessystem for informationssikkerhed. Hvis du ønsker standarden med danske oversættelser, kan den købes i vores webshop, hvor du selvfølgelig også finder de øvrige beskrevne standarder.

Mere om certificering

Certificering kræver en ekstern auditering, hvor organisationens efterlevelse af standardens krav gennemgås i dokumentationsform og med et fysisk besøg. Dansk Standard certificerer ikke, men bidrager gerne med rådgivning og viden om certificering.

Dansk, europæisk eller international standard?

De internationale standarder (ISO/IEC), er alle udgivet som danske standarder, der er fuldstændig identiske med de internationale. De har på Dansk Standards webshop derfor betegnelsen ”DS ISO/IEC” foran nummeret på standarden. Flere af standarderne er oversat til dansk - hvilke fremgår af webshoppen. Nogle af standarderne er ligeledes identisk implementeret på europæisk niveau, og har derfor også tilføjet “EN” i titlen; DS EN ISO/IEC. Den europæiske implementering betyder, at ingen EU-lande må have nationale standarder, der er overlappende eller i modstrid med de internationale standarder.

 

Hvis du har spørgsmål, er du altid velkommen til at kontakte vores informationscenter.

 

Dansk Standard har et udvalg for cyber- og informationssikkerhed, hvor medlemmerne får indsigt i kommende standarder og mulighed for at påvirke det internationale standardiseringsarbejde. Du kan læse mere om udvalget her.

 

Klik her for at downloade al information om standarder for cyber- og informationssikkerhed i én samlet fil.

Kontakt

Astrid Bækby Knudsen
Astrid Bækby Knudsen Standardiseringskonsulent | Standardisation Consultant
Sekretariater, udvalg og netværk II
E: abk@ds.dk
T: 39966206
Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39966296
Kim Skov Hilding
Kim Skov Hilding Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: ksk@ds.dk
T: 39966217

Løsningen kan tilgås via browsere fra Google Chrome, Safari, Firefox og Microsoft Edge, men ikke fra Internet Explorer 11.