ISO 27001 stiller stadig krav til et Information Security Management System (ISMS), som kan oversættes til "ledelsessystem for informationssikkerhed". Kravene falder stadig inden for de samme emner, og den rigtigt gode nyhed er, at virksomhederne har fået større frihed til at vælge, hvordan de i praksis efterlever kravene. Mere funktion, mindre form, som en af mine kollegaer udtrykker det.
Risikostyring = Risikovurdering + Risikohåndtering
Risikostyring har nu en endnu mere central placering i virksomhedens ISMS. Risikostyring består i al væsentlighed af en proces for risikovurdering og en proces for risikohåndtering (risk treatment).
|
|
| Road to SoA - and beyond |
I den ny ISO 27001, såvel som i den gamle, findes et centralt dokument, der hedder Statement of Applicability (SoA). Det er nyt, at SoA'en skal være tæt forbundet med jeres proces for risikohåndtering, og det er nyt at I skal udpege risikoejere, som godkender jeres risikohåndtering og jeres risikovillighed, også kaldet risiko-appetit.
SoA beskriver hvilke tiltag (controls på engelsk), der indgår i jeres ISMS. Det er nyt, at I skal begrunde både tilvalg og fravalg; en fin forbedring af standarden. Da SoA er eller bliver så centralt et dokument i jeres ISMS, har vi lavet en gratis vejledning til, hvordan I mest effektivt kan lave jeres SoA.
HER KAN DU HENTE SOA VEJLEDNINGEN
