ISO 27000
Vad är och innebär ISO 27000?
Den internationella standardserien ISO 27000 är ett ledningssystem för informations- och cybersäkerhet som tar sin utgångspunkt i en verksamhetsanpassad riskanalys och där säkerhetsarbetet följer en tydlig process. Tillämpningen av standarderna i denna serie underlättar säkerhetsarbetet inom en organisation och förbättrar möjligheterna att bedöma säkerheten och revidera den på ett enhetligt sätt.
Några begrepp
ISO står för International Organization for Standardization. Den arbetar med industriell och kommersiell standardisering och grundades 1947. ISO har över 160 nationella standardiseringsinstitut som medlemmar. Det svenska heter SIS (Svenska institutet för standarder). En fullständig beteckning för ISO 27000 i Sverige är SS–EN ISO/IEC 27000.
SS står för Svensk Standard, EN för European Norm och IEC betyder International Electrotechnical Commission.
Varför Standardisera?
En standard är ett gemensamt standardiserat sätt att lösa ett vanligt problem. Det är ett sätt att uppnå transparens och undvika missförstånd. Man spar energi på att man slipper tänka ut allt själv. I stället kan man luta sig mot något som är beprövat. Standarder som är framtagna och verifierade av ledande experter runt om i världen. För en organisation finns det flera fördelar med att använda sig av etablerade standarder som grund vid val och införande av säkerhetsåtgärder:
Man utnyttjar samlade kunskaper
Kvalitetsstämpel
Fördelar vid samverkan med andra
Underlättar upphandlingar och kravställningar på externa partners
ISO 27000 - Ledningssystem för informationssäkerhet
Detta dokument är en inledning till och översikt av 27000-serien med bland annat förklaringar av terminologi. Ledningssystemet förordar ett systematiskt arbetssätt och kan tillämpas inom alla organisationer avsett storlek, bransch och verksamhet. Att implementera ett säkerhetssystem enligt ISO 27000-serien innebär att utifrån riskhantering applicera säkerhetsåtgärder så att organisationens tillgångar skyddas på ett bra sätt.
ISO 27000 ställer krav på att man sätter säkerhetsmål, identifierar riskerna och hanterar de funna riskerna. Säkerhetssystemets omfattning definieras av vad det är som ska skyddas. Detta definieras av organisationen själv och dess regelverk och avtal. Organisationens ledning har huvudansvaret och måste vara involverad och engagerad i alla ledningssystemets processer. Det systematiska ledningsarbetet enligt ISO 27000 följs av två vägledningsstandarder som innehåller konkreta säkerhetshöjande åtgärder. De kallas ISO 27001 och ISO 27002 och är de två huvudstandarderna under ISO 27000.
ISO 27001 - Ledningssystem för informationssäkerhet – krav
Denna standard ställer krav på ett ledningssystem för informationssäkerhet (LIS). Genom att implementera kravstandarden ISO 27001 rustar du ditt företag för att aktivt leda och ständigt förbättra organisationens behov av säkerhet. I denna standard finns grundkraven som en organisation kan certifiera sig mot.
För att uppnå säkerhetsmålen kräver ISO 27001 en detaljerad säkerhetsplan som är granskad, uppdaterad och resultatuppföljd och dokumenterad. Det är det bästa beviset för efterlevnad vid en revision av informationssäkerheten
Bilaga A i ISO 27001 innehåller 35 mål och 114 kontroller (åtgärder).
Dessa säkerhetsåtgärder ger ett bra stöd för att skydda organisationens informationstillgångar. Hur de kan införas beskrivs i ISO 27002.
ISO 27002 - Riktlinjer för styrning av informationssäkerhet
Ger vägledning för införande av säkerhetsåtgärderna i bilaga A i ISO 27001.
Beskrivningarna av mål och kontroller i bilaga A är ganska vaga. därför finns ISO 27002 med mer detaljerade beskrivningar av mål och kontroller samt hur dessa implementeras.
Utöver ISO 27000 – ISO 27002 finns det ytterligare en stor mängd stödstandarder kring olika appliceringar av säkerhetsåtgärder i ISO 27000-serien
För mer information kring ISO 27000-serien hänvisas till:
Svenska institutet för standarder (SIS) www.sis.se
International Organization for Standardization www.iso.org