De vigtigste standarder i ISO 2700x-serien
ISO 27001: Her har du selve ledelsessystemet (ISMS), som hjælper dig med struktureret at arbejde med kritisk information.
ISO 27002: I denne standard finder du 93 foranstaltninger, som du kan bruge til at udvælge dem, der bedst passer til din organisation.
ISO 27005: Giver dig konkret vejledning i, hvordan du tilrettelægger din risikostyring.
ISO 27701: Giver dig mulighed for at arbejde med persondatabeskyttelsen (altså din GDPR compliance).
Der er en lang række yderligere standarder i serien, som du kan se her: https://www.iso.org/standard/iso-iec-27000-family
Fordele ved standarder
Men lad os først tage et skridt tilbage. Hvad er fordele ved at benytte en standard?
- Først og fremmest er standarder typisk udarbejdet af eksperter og praktikere,
- De bliver løbende testet af mange forskellige typer af virksomheder,
- De er kendt af eksperter, så din virksomhed ikke bliver afhængig af enkelte medarbejdere
- De er anerkendt best practice og kan dermed fungere som et kvalitetsstempel for virksomheden,
- De er ofte udarbejdet, så de samtidig skaber et godt grundlag for også at leve op til lovregler.
Ulemper ved standarder
Der er med andre ord mange gode grunde til at bruge standarder. Der er dog også ulemper:
- Alle virksomheder er forskellige, så standarden passer næppe 100 % til lige din virksomhed,
- Sikkerhedstruslerne ændrer sig hele tiden, så det er vigtigt at følge med og
- Lade virksomhedens målsætninger være centrale og drivende i sikkerhedsarbejdet.
Derfor ser vi da også mange virksomheder, som bruger mere end én standard. Mere om det senere.
ISO 2700x-serien: Det mange gør
I Europa støder vi ofte på ISO 27001 og hele 2700x-serien. Det er formentlig den mest udbredte standard inden for informationssikkerhed. I Danmark er det da også den, som offentlige myndigheder enten skal følge eller i hvert fald lade sig inspirere af.
Det er derfor en god ide at kigge på ISO 2700x, fordi der så vil være gode muligheder for at rekruttere medarbejdere med erfaring, og det vil være let at finde andre virksomheder og organisationer, som man kan sparre med.
ISO 2700x er en international standard. Man
- implementerer et ledelsessystem til, risikobaseret, at håndtere sin informationssikkerhed.
- foretager risikostyring og
- indfører en række foranstaltninger, som findes i ISO 27002.
Standarden betyder, at der er masser af hjælp at hente i hele processen, og den kan forholdsvis enkelt udvides til også at håndtere databeskyttelse og compliance med GDPR.
{{factbox-dark}}
Andre standarder og reguleringer
Der findes andre standarder og reguleringer, som vi ofte støder på i vores arbejde i Europa.
CIS 18 eller CIS 18 Critical Security Controls støder vi ofte på. Det er 18 konkrete kontroller, som er udviklet til at beskytte virksomheder mod cybertrusler. Det er ofte IT-afdelingens foretrukne værktøj, fordi det er meget konkret at arbejde med.
NIS2 kommer man heller ikke udenom - især hvis man arbejder i en virksomhed, som er vigtig eller væsentlig for samfundet. Her er der tale om en EU-lovgivning, hvis formål er at højne den generelle cybersikkerhed i hele EU. Direktivet stiller en række krav til virksomhedernes informationssikkerhed. Det er dog vores erfaring, at de fleste, der skal leve op til direktivet, benytter en anden standard også - oftest ISO 2700x.
Cyber Essentials er en britisk standard, som på en forholdsvis enkel måde er med til at højne sikkerheden. Den er støttet af den britiske regering, og mange britiske virksomheder bruger den som krav til deres leverandører. Vi (Wired Relations) er certificeret efter den standard.
SOC 2 møder man også ofte. SOC 2 er en ramme for sikkerhed, der specificerer, hvordan virksomheder skal beskytte kundedata mod uautoriseret adgang, sikkerhedshændelser og andre sårbarheder. Den bliver ofte brugt som dokumentation i forbindelse med salg til kunder fra eksempelvis cloudservice-virksomheder.
NIST Cyber Security Framework er på mange måder det amerikanske svar på ISO-standarden. Det er altså en frivillig standard, som skal sikre, at virksomheder arbejder med at forebygge, opdage og reagere på cybersikkerhedstrusler.
Det var de reguleringer og standarder, som vi ofte støder på hos Wired Relations. Der findes imidlertid masser af andre. Det kan være lovgivninger, som lægger sig opad informationssikkerheden - eksempelvis GDPR eller andre databeskyttelseslovgivninger. Det kan også være sektorspecifikke standarder eller revisionsstandarder, som kunder efterspørger.
Mange bruger flere standarder
Derfor møder vi ofte kunder, som arbejder med flere standarder og reguleringer. Det sker ofte sådan, at man for eksempel opdager, at man har brug for at leve op til eksempelvis Cyber Essentials for at kunne levere til en britisk kunde.
Senere træffer man beslutning om at arbejde bredere med ISO-standarden, mens IT-afdelingen bliver glad for de konkrete kontroller i CIS 18.
Og så bliver man måske oven i købet omfattet af NIS2-direktivet.
Pludselig har man 3-5 forskellige sæt af standarder og regler, som helt eller delvist overlapper hinanden.
Her er det vigtigt, at man styrer sit arbejde på en sådan måde, at man ikke kommer til at udføre den samme opgave eller foretage den samme kontrol to gange.
Hvis du vil se, hvordan man let kan arbejde med flere standarder og regelsæt i Wired Relations, så book en demo.
