Overblik over cyber- og informationssikkerhedsstandarder

Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005 Information security, cybersecurity and privacy protection – Guidance on managing information security risks.

Hvad er værdien af at anvende standarden?

ISO/IEC 27005 er en vejledende standard, som knytter sig til den internationale ledelsesstandard for informationssikkerhed, ISO/IEC 27001.

Mens ISO/IEC 27001 stiller de overordnede krav til et ledelsessystem for informationssikkerhed (ISMS), kan ISO/IEC 27005 hjælpe med at vejlede i, hvordan man kan lave en risikovurdering, og dermed få et overblik over organisationens trusler, sårbarheder og hvordan risici kan håndteres ud fra organisationens risikovillighed. Standarden kan dermed være med til at sikre det optimale niveau af foranstaltninger i en organisation ift. værdien af den information, som skal beskyttes.

Standarden er en vejledning i risikostyring og giver indsigt i, hvordan man vurderer og håndterer risici vedrørende organisationens informationer ud fra en vurdering af sandsynligheden for, at en hændelse sker sammenstillet med den konsekvens, som hændelsen har for organisationen. Risikohåndtering kræver en stillingtagen til, hvordan organisationen skal agere overfor de identificerede risici.

ISO/IEC 27005 er blevet opdateret i 2022. Standarden bliver i løbet af 2023 oversat til dansk.

Er standarden relevant for dig?

ISO/IEC 27005 er relevant for alle, der gerne vil implementere den internationale ledelsesstandard for informationssikkerhed, ISO/IEC 27001, og har brug for vejledning til, hvordan man laver en risikovurdering, så man kan etablere de rette foranstaltninger til at implementere et ISMS. Standarden kan desuden bruges som generel inspiration til, hvordan man vurderer risici ift. informationer knyttet til ens organisation.

Hvordan anvendes standarden?

Standarden er en vejledning i vurdering og håndtering af risici inden for rammerne af et ledelsessystem i informations-sikkerhed. Der er en række tilhørende standarder, heriblandt kravstandarden ISO IEC 27001 og den vejledende standard ISO/IEC 27002, som handler om etablering af foranstaltninger. Begge disse standarder kan med fordel anvendes sammen med ISO/IEC 27005.





Guide til risikostyring skal hjælpe danske virksomheder i gang

Dansk Standard har i samarbejde med Alexandra Instituttet udarbejdet en guide for risikostyring ift. cyber- og informationssikkerhed, der skal hjælpe danske virksomheder i gang. Guiden tager udgangspunkt i principperne fra ISO/IEC 27005 og gennemgår risikostyring trin for trin. Guiden henvender sig til virksomheder, der ikke har den store forhåndsviden om risikostyring ift. cyber- og informationssikkerhed, men som ønsker en systematisk og forenklet tilgang med konkrete eksempler

Download guide til risikostyring

Mere information

 

Hvordan kommer jeg videre?

De fleste organisationer vil kunne finde nyttig inspiration og vejledning i standarderne, som kan forbedre deres cyber- og informationssikkerhed, også uden at følge standarderne fra ende til anden. Alle standarderne kan købes i Dansk Standards webshop. Dansk Standard tilbyder desuden kurser og rådgivning i de fleste af de beskrevne standarder.

Behov for hjælp til de mange begreber?

Den engelsksprogede version af terminologistandarden ISO/IEC 27000 kan downloades gratis via dette link på ISO’s hjemmeside. I denne standard kan du blive klogere på terminologien og definitionerne, der ligger til grund for ISO/IEC 27000-seriens ledelsessystem for informationssikkerhed. Hvis du ønsker standarden med danske oversættelser, kan den købes i vores webshop, hvor du selvfølgelig også finder de øvrige beskrevne standarder.

Mere om certificering

Certificering kræver en ekstern auditering, hvor organisationens efterlevelse af standardens krav gennemgås i dokumentationsform og med et fysisk besøg. Dansk Standard certificerer ikke, men bidrager gerne med rådgivning og viden om certificering.

Dansk, europæisk eller international standard?

De internationale standarder (ISO/IEC), er alle udgivet som danske standarder, der er fuldstændig identiske med de internationale. De har på Dansk Standards webshop derfor betegnelsen ”DS ISO/IEC” foran nummeret på standarden. Flere af standarderne er oversat til dansk - hvilke fremgår af webshoppen. Nogle af standarderne er ligeledes identisk implementeret på europæisk niveau, og har derfor også tilføjet “EN” i titlen; DS EN ISO/IEC. Den europæiske implementering betyder, at ingen EU-lande må have nationale standarder, der er overlappende eller i modstrid med de internationale standarder.

 

Hvis du har spørgsmål, er du altid velkommen til at kontakte vores informationscenter.

 

Dansk Standard har et udvalg for cyber- og informationssikkerhed, hvor medlemmerne får indsigt i kommende standarder og mulighed for at påvirke det internationale standardiseringsarbejde. Du kan læse mere om udvalget her.

 

Klik her for at downloade al information om standarder for cyber- og informationssikkerhed i én samlet fil.

Kontakt

Berit Aadal
Berit Aadal Chefkonsulent | Chief Consultant
Standardisering | Digital & Bæredygtighed
E: baa@ds.dk
T: 39 96 62 96
Kim Skov Hilding
Kim Skov Hilding Seniorkonsulent | Senior Consultant
Standardisering | Digital & Bæredygtighed
E: ksk@ds.dk
T: 39 96 62 17

Løsningen kan tilgås via browsere fra Google Chrome, Safari, Firefox og Microsoft Edge, men ikke fra Internet Explorer 11.