Feil
  • Feil ved lasting av datamating
  • Feil ved lasting av datamating
  • Feil ved lasting av datamating

Veriscan Security deltar i ISO-arbeid våren 2013

Vårens arbeidsgruppemøte i ISO SC27(*) er nå over. Rune Ask fra Veriscan Security deltok i arbeidsgruppe 1 - WG1, der har vi nå lagt siste hånd på ISO/IEC 27001 og ISO/IEC 27002. De skal nå ut til en siste avstemning og blir deretter forhåpentligvis vedtatt som nye utgaver mot slutten av året.

ISO/IEC 27001 har blitt omarbeidet en del, slik at den skal være avstemt med standarder for andre styringssystemer som eksempelvis ISO 9000 og ISO 14000. Den «gamle, gode» PDCA-sirkelen er tatt vekk og erstattet med mer konkrete forklaringer på hvilke aktiviteter som skal gjennomføres i den totale prosessen. Mens forrige utgave bare krevde at virksomheten skulle måle effektiviteten til de sikringstiltakene som var iverksatt, er det nå krav om at man nå i tillegg skal måle effektiviteten på selve styringssystemet.

Selv om det er en del nytt i standarden, vil de som allerede er sertifisert kjenne seg igjen og vil med noe innsats kunne opprettholde sine sertifikater. ISO/IEC 27002 har blitt omstrukturert en del og er vesentlig oppdatert i forhold til forrige versjon. Standarden tar innover seg at det har skjedd mye på teknologifronten siden forrige utgave i 2005. Mye gammelt tankegods er fjernet og «nye» ting som skytjenester og BYOD er tatt inn. I og med at det tar noe tid mellom hver revisjon kan vi ikke gå dypt inn i den enkelte teknologien, men det er heller ikke meningen.

ISO/IEC 27002 er en management-standard, og vi må derfor holde fokus og «kravene» på et relativt høyt nivå. To andre interessante standarder – ISO/IEC 27003 og ISO/IEC 27004 – er tatt opp til revisjon. Disse gir veiledning i henholdsvis implementering av styringssystem for informasjonssikkerhet og måling av informasjonssikkerhet.

Spesielt standarden for måling kan være noe komplisert, så målet vårt er å lage en mer pragmatisk tilnærming og en standard som er enklere å bruke. En standard som mange kjenner til er ISO/IEC 27005 – risikostyring. Den ble først publisert i 2008, men gjennomgikk en rask oppdatering i 2011 for å sikre at den er avstemt mot ISO 31000 som er den overordnede standarden for risikostyring. Nå er det på tide å underlegge den en fullstendig revisjon igjen.

Det er totalt fem arbeidsgrupper i SC27 som arbeider med mange interessante standarder innenfor mange områder innenfor IT som eksempelvis håndtering av sikkerhetsbrudd, SCADA-sikkerhet, krav til sikring av skytjenester, nettverksikkerhet, krypto, personvern – bare for å nevne noen få.

Ta gjerne kontakt dersom du ønsker mer informasjon om tilgjengelige standarder eller dersom du ønsker å delta i den norske arbeidsgruppen som jobber med standardene for informasjonssikkerhet.

Rune Ask
Leder av SN/K171

(*) For mer informasjon om ISO SC27 og hvordan arbeidet med utarbeidelse av standarder foregår, last ned boken som ble skrevet i forbindelse med 20-årsjubileet.

Ekstra informasjon