Overblik over cyber- og informationssikkerhedsstandarder

Udvidede krav og vejledninger for 27001 og 27002 til at omfatte persondatabeskyttelse

ISO/IEC 27701 Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines

Hvad er værdien af at anvende standarden?

Organisationer, der behandler personoplysninger, oplever i dag en række udvidede krav til at sikre privatlivet for kunder, brugere, borgere, medarbejdere m.fl. Det skyldes ikke mindst Persondataforordningens (GDPR’s) ikrafttræden. ISO/IEC 27701 er udarbejdet ud fra et behov om at adressere privatlivsbeskyttelse inden for rammerne af et ledelsessystem for informationssikkerhed. Standarden indeholder både krav og vejledning til etablering, implementering, vedligeholdelse og løbende forbedring af et sådant ledelsessystem.

ISO/IEC 27701 giver organisationer konkrete anvisninger til at integrere og forene arbejdet med persondatabeskyttelse med arbejdet for informationssikkerhed. Standarden kan hjælpe organisationer med at strukturere deres arbejde med personoplysninger og minimere risikoen for brud på privatlivsbeskyttelsen. Compliance er en udtalt udfordring blandt mange virksomheder og organisationer, og standarden ISO/IEC 27701 er her et nyttigt værktøj til netop at dokumentere, internt såvel som eksternt, hvordan organisationen sikrer privatlivsbeskyttelse i henhold til lov eller kundekrav. Som organisation kan det være komplekst at gennemskue, hvordan man får mappet disse krav og retningslinjer ift. organisationens håndtering af persondata. Her er standarden et værdifuldt redskab, blandt andet i kraft af et anneks, som er en direkte mapping af standardens krav og vejledning op imod Persondataforordningens (GDPR’s) artikler. Det er dog vigtigt at understrege, at der ikke en 1:1 compliance med GDPR, hvis man følger standarden. Det er nødvendigt, at en organisation orienterer sig ift. øvrig lovgivning og yderligere retningslinjer.

Standarden bidrager også til en klar fordeling af roller og ansvarsområder, og er således et værdifuldt værktøj for både dataansvarlige og for databehandlere. For de dataansvarlige kan standarden især bidrage til at skabe gennemsigtighed og fungere som et redskab til at styre databehandlingsprocesserne. For databehandlerne kan standarden særligt bidrage til at dokumentere overfor kunder, borgere m.fl., at deres personoplysninger er håndteret korrekt. Samtidig kan standarden bidrage til at styrke kommunikationen mellem jurister og teknikere via en fælles referenceramme for informationssikkerhed og privatlivsbeskyttelse.

Sidst, men ikke mindst, er standarden med til at opbygge tillid. Standarden er internationalt anerkendt og spås at finde bred anvendelse globalt. Det bidrager til skabe tillid til de organisationer, der anvender standarden, da det vidner om, at man arbejder struktureret med persondatabeskyttelse og kan fremvise dokumentation for arbejdet.

Er standarden relevant for dig?

Hvis din organisation behandler personoplysninger, og I ønsker en struktureret tilgang til at integrere informationssikkerhed og persondatabeskyttelse, så vil standarden være værdifuld at orientere sig i. Standarden er især interessant for databehandlere og dataansvarlige, da den bidrager med vejledning i passende foranstaltninger for deres respektive roller. Standarden er relevant for alle typer og størrelser af organisationer.

Hvordan anvendes standarden?

For de organisationer, der allerede har opbygget og implementeret et ledelsessystem for informationssikkerhed, er ISO/IEC 27701 en udvidelse til også at omfatte persondatabeskyttelse. For organisationer, der ikke arbejder med ISO/IEC 27001 og ISO/IEC 27002, kan standarden give inspiration til overholdelse af de grundlæggende privacy-principper og til effektiv håndtering af personoplysninger i en organisation.

ISO/IEC 27701 er ligesom ISO/IEC 27001 en kravstandard bygget op omkring et ledelsessystem, hvilket betyder, at det er muligt for en organisation at blive certificeret i standarden. Certificering i ISO/IEC 27701 forudsætter dog tidligere eller samtidig certificering i ISO/IEC 27001.


Mere information

 

Hvordan kommer jeg videre?

De fleste organisationer vil kunne finde nyttig inspiration og vejledning i standarderne, som kan forbedre deres cyber- og informationssikkerhed, også uden at følge standarderne fra ende til anden. Alle standarderne kan købes i Dansk Standards webshop. Dansk Standard tilbyder desuden kurser og rådgivning i de fleste af de beskrevne standarder.

Behov for hjælp til de mange begreber?

Den engelsksprogede version af terminologistandarden ISO/IEC 27000 kan downloades gratis via dette link på ISO’s hjemmeside. I denne standard kan du blive klogere på terminologien og definitionerne, der ligger til grund for ISO/IEC 27000-seriens ledelsessystem for informationssikkerhed. Hvis du ønsker standarden med danske oversættelser, kan den købes i vores webshop, hvor du selvfølgelig også finder de øvrige beskrevne standarder.

Mere om certificering

Certificering kræver en ekstern auditering, hvor organisationens efterlevelse af standardens krav gennemgås i dokumentationsform og med et fysisk besøg. Dansk Standard certificerer ikke, men bidrager gerne med rådgivning og viden om certificering.

Dansk, europæisk eller international standard?

De internationale standarder (ISO/IEC), er alle udgivet som danske standarder, der er fuldstændig identiske med de internationale. De har på Dansk Standards webshop derfor betegnelsen ”DS ISO/IEC” foran nummeret på standarden. Flere af standarderne er oversat til dansk - hvilke fremgår af webshoppen. Nogle af standarderne er ligeledes identisk implementeret på europæisk niveau, og har derfor også tilføjet “EN” i titlen; DS EN ISO/IEC. Den europæiske implementering betyder, at ingen EU-lande må have nationale standarder, der er overlappende eller i modstrid med de internationale standarder.

 

Hvis du har spørgsmål, er du altid velkommen til at kontakte vores informationscenter.

 

Dansk Standard har et udvalg for cyber- og informationssikkerhed, hvor medlemmerne får indsigt i kommende standarder og mulighed for at påvirke det internationale standardiseringsarbejde. Du kan læse mere om udvalget her.

 

Klik her for at downloade al information om standarder for cyber- og informationssikkerhed i én samlet fil.

Kontakt

Astrid Bækby Knudsen
Astrid Bækby Knudsen Standardiseringskonsulent | Standardisation Consultant
Sekretariater, udvalg og netværk II
E: abk@ds.dk
T: 39966206
Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39966296
Kim Skov Hilding
Kim Skov Hilding Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: ksk@ds.dk
T: 39966217

Løsningen kan tilgås via browsere fra Google Chrome, Safari, Firefox og Microsoft Edge, men ikke fra Internet Explorer 11.