17. juli 2018
Aldrig har informationssikkerhed været mere i spotlyset. Med EU’s nye persondatalov er virksomheder under stadigt større pres for at sikre deres information – hvad end det er deres egen, medarbejdernes eller kundernes. Den reviderede standard ISO/IEC 27005:2018, Information technology – Security techniques – Information security risk management, giver en ramme for, hvordan man navigerer i informationssikkerhed ved effektivt at styre sine risici.
Standarden er revideret efter den nye version af ISO 27001 og sikrer dermed, at virksomhederne lever op til dagens krav.
Edward Humphreys, convenor i arbejdsgruppen bag både ISO 27001 og ISO 27005, fortæller, at den opdaterede standard er et nøgleredskab i ”cyberrisiko-værktøjskassen”:
- ISO 27005 oplister ”hvorfor, hvad og hvordan” for virksomheder, så de kan styre risici forbundet med informationssikkerhed effektivt i tråd med ISO 27001. Samtidig demonstrerer den overfor virksomhedens kunder og interessenter, at robuste risikoprocedurer er på plads og derved forsikre dem om, at de trygt kan overlade deres informationer til dem.
Udover ISO 27005 og ISO 27001, består 27000-serien af standarder for sikker information i skyen, for telekommunikation og forsyningssektorer, cybersikkerhed, informations-ledelsessystemer mm.
Har du ansvar for data og information i din virksomhed, er der også gode råd at hente i en ny håndbog fra Dansk Standard med fokus på ISMS, der er en forkortelse af informationssikkerhedsledelsessystem. Ved at implementere systemet kan både kunder og leverandører regne med, at I som organisation lever op til det, I lover.
Konkret indeholder håndbogen en vejledning til, hvordan hele ISO 27001 og relevante kapitler fra ISO 27002 (kapitel 5-15) kan følges. Begge er internationale ledelsesstandarder for informationssikkerhed. Det er på den måde et styringsværktøj, hvor der opstilles krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed. Derved giver håndbogen konkrete praksisråd omkring informationssikkerhed, som organisationen kan anvende til at mindske de risici, som både erhvervslivet og det offentlige møder i vores digitale verden.
Bogen henvender sig til alle, der har et ansvar for organisationers informationssikkerhed – fx rådgiveres, foreningers, institutioners, laboratoriers, myndigheders, kommuners eller regioners styring af it-faciliteter og databehandlingsaktiviteter. Kort sagt alle, der har ansvar for informationers fortrolighed, integritet og tilgængelighed.