Ny ISO/IEC 27002 – nu på dansk

06. januar 2023

Ny ISO/IEC 27002 – nu på dansk

Vejledningen til at udpege og etablere foranstaltninger for informationssikkerhed, standarden ISO/IEC 27002, som udkom i en ny version sidste år, er netop udkommet på dansk.

I takt med øget digitalisering og stigende risiko for cyberangreb og andre cybertrusler vælger fortsat flere virksomheder at følge de internationalt anerkendte standarder for informationssikkerhed i ISO 27000-serien. Og nu er den nye version af vejledningen ISO/IEC 27002 oversat til dansk.

- ISO/IEC 27002 har sammen med ISO/IEC 27001 stor global markedsindflydelse og bliver brugt af virksomheder, myndigheder og organisationer verden over, siger Majken Prip, konsulent i Dansk Standard.

Standarderne for informationssikkerhed giver ikke blot redskaber til at imødegå cyberangreb, som fx ransomware, industrispionage, tab af fortrolighed og driftsstop, som flere og flere virksomheder bliver ramt af. De gør det også lettere at dokumentere over for kunder og myndigheder, at man lever op til krav og lovgivning på området.

- Der bliver stillet flere og flere krav til informationssikkerhed – både fra samarbejdspartnere og i form af lovgivning. Her er ISO 27001 og 27002 gode redskaber til både at sikre, at man rent faktisk overholder kravene og til at dokumentere dette over for omverdenen, siger Majken Prip.

Ny ISO/IEC 27002 er mere brugervenlig

ISO/IEC 27002 er en vejledende standard, som knytter sig til den internationale kravstandard for informationssikkerhed ISO/IEC 27001. Standarden indeholder en række foranstaltninger, som omfatter anbefalinger til både politikker, processer, procedurer, organisationsstrukturer samt software- og hardware-funktioner. I den nye udgave er antallet af foranstaltninger reduceret fra 114 til 93, og standarden er bygget op over en ny struktur baseret på fire temaer: organisatoriske, teknologiske, fysiske og personrelaterede foranstaltninger.

- Den nye struktur og ændringen i antallet af foranstaltninger og måden, de bliver belyst, gør standarden mere overskuelig og giver større brugervenlighed, fortæller Majken Prip, der også underviser på Dansk Standards kurser i informationssikkerhed.

En systematisk og struktureret tilgang til informationssikkerhed

ISO/IEC 27002 kan benyttes som inspirationskilde til at udpege og etablere de for organisationen relevante foranstaltninger. Den henvender sig til alle typer og størrelser af virksomheder og organisationer, private såvel som offentlige, der ønsker en systematisk og struktureret tilgang til at arbejde med informationssikkerhed. ISO/IEC 27002 kan med fordel anvendes som værktøjskasse til risikohåndtering sammen med den vejledende standard for risikostyring ISO/IEC 27005.

Bag den reviderede standard står fageksperter fra hele verden, som har diskuteret sig frem til den endelige version. Blandt eksperterne er også medlemmer af det danske standardiseringsudvalg for cyber- og informationssikkerhed. De danske eksperter har både bidraget til revisionen af ISO/IEC 27002 og har kvalitetssikret den danske oversættelse af standarden.

Der er i forlængelse af den reviderede udgave af ISO/IEC 27002 også udgivet en ny version af ISO/IEC 27001. Det er dog kun Anneks A i ISO/IEC 27001, hvor foranstaltningerne fra ISO/IEC 27002 er gengivet, at man har lavet ændringer.

Hvis man i dag er certificeret efter den gældende udgave af ISO/IEC 27001 (fra 2017), så gælder certificeringen i en overgangsperiode på tre år. Herefter bliver certificeringer efter den gamle udgave officielt forældede. Det betyder, at virksomheder, der er certificeret efter 2017-udgaven, senest i 2025 skal re-certificeres efter den nye ISO/IEC 27001:2022.

Vil du vide mere?

Find DS/EN ISO/IEC 27002 i Dansk Standards webshop: https://webshop.ds.dk/standard/M362244/ds-en-iso-iec-27002-2022 

Læs mere om ISO/IEC 27002 her: https://www.ds.dk/da/om-standarder/ledelsesstandarder/iso-27001-informationssikkerhed/iso-27002-foranstaltninger

Dansk Standard tilbyder også kurser i informationssikkerhed. Læs mere her: https://www.ds.dk/da/ydelser/kurser-og-arrangementer/informationssikkerhed

Dansk Standard har desuden udarbejdet et whitepaper, der gennemgår ændringerne i den nye version af standarden. Læs mere her: https://www.ds.dk/27002

Læs mere om Dansk Standards udvalg for cyber- og informationssikkerhed her: https://www.ds.dk/s-441 Du kan også høre mere om udvalget på vores kommende introduktionsmøde den 19. januar. Kontakt Berit Aadal baa@ds.dk for yderligere information.

Vil du have standarden i licens

Standarden kan også tilkøbes i Standard Distribute. Hvis du gerne vil have dine standarder gjort tilgængelig for alle i virksomheden – og ikke kender denne platform – kan du her læse mere om hvordan du får adgang til Standard Distribute.

Standard Distribute



Kontakt

Majken Prip
Majken Prip Konsulent | Consultant
Afdeling for international politik og kursus
E: mpr@ds.dk
T: 39 96 61 28
Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39 96 62 96

Mere viden om informationssikkerhed

ISO 27001 - Informationssikkerhed

ISO/IEC 27001

ISO/IEC 27001 - Informationssikkerhed

ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.

ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005

ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.

ISO/IEC 27701 Privatlivsbeskyttelse

ISO/IEC 27701

ISO/IEC 27701 Privatlivsbeskyttelse

Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.

SoA-dokument

Informationsikkerhed

SoA-dokument

Et SoA-dokument består af en liste med foranstaltninger, der kan være relevante for en organisation at implementere i forbindelse med organisationens risikohåndtering.