Sikker nok? Blog om informationssikkerhed

Den ny ISO 27001 er udkommet: Vejledning til Statement of Applicability (SoA-dokument)

[fa icon="calendar"] 11. oktober 2013 / af Lars Neupart

I sidste uge udkom 2013-udgaverne af de udbredte standarder for informationssikkerhed, ISO 27001 og 27002. Det er 8 år siden de sidst blev opdateret, og de nye udgaver indeholder en række forbedringer, som bør interessere virksomheder, der læner sig op ad ISO 27001, eller som skal efterleve den.

ISO 27001 stiller stadig krav til et Information Security Management System (ISMS), som kan oversættes til "ledelsessystem for informationssikkerhed". Kravene falder stadig inden for de samme emner, og den rigtigt gode nyhed er, at virksomhederne har fået større frihed til at vælge, hvordan de i praksis efterlever kravene. Mere funktion, mindre form, som en af mine kollegaer udtrykker det.

Risikostyring = Risikovurdering + Risikohåndtering

Risikostyring har nu en endnu mere central placering i virksomhedens ISMS. Risikostyring består i al væsentlighed af en proces for risikovurdering og en proces for risikohåndtering (risk treatment).
RoadToSoA-1.png
Road to SoA - and beyond

I den ny ISO 27001, såvel som i den gamle, findes et centralt dokument, der hedder Statement of Applicability (SoA). Det er nyt, at SoA'en skal være tæt forbundet med jeres proces for risikohåndtering, og det er nyt at I skal udpege risikoejere, som godkender jeres risikohåndtering og jeres risikovillighed, også kaldet risiko-appetit.

SoA beskriver hvilke tiltag (controls på engelsk), der indgår i jeres ISMS. Det er nyt, at I skal begrunde både tilvalg og fravalg; en fin forbedring af standarden.  Da SoA er eller bliver så centralt et dokument i jeres ISMS, har Neupart lavet en gratis vejledning til, hvordan I mest effektivt kan lave jeres SoA.

HER KAN DU HENTE SOA VEJLEDNINGEN

Her finder du flere ISO 27001 ressourcer:

Secure ISMS, ledelsesværktøj til informationssikkerhed
Webinar om risikovurdering
Webinar om risikohåndtering
Live Demo Webinar: Værktøj til risikovurdering og-håndtering
Blogpost om hvordan ny ISO 27001 påvirker jeres risikostyring

 

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg