Knowit Secure

Vi gjør IT sikrere!

En introduksjon til ISO 27001

iso27001Dette er det første innlegget i en serie jeg har tenkt å skrive om ISO 27001. Nedenfor kommer en rask introduksjon av standarden og fremover vil jeg skrive mer om hva denne ISO standarden inneholder, hvordan den kan implementeres og andre ting jeg tror er av interesse.
ISO 27001 tar for seg hvordan du får et Information Security Management Systems (ISMS) på plass.


 

La meg starte med å ta ett steg tilbake: ISO 27000 serien er en samling av standarder som sammen utgjør god praksis for hvordan informasjonssikkerheten kan ivaretas i alle typer virksomheter. Med det mener jeg store og små, offentlige og private, veldedige organisasjoner og virksomheter i enhver bransje.

De tre første standardene i ISO 27000 serien (27000, 27001 og 27002) er nært knyttet til hverandre:

  • ISO 27000 gir deg en oversikt over hva som menes med et Information Security Management System (ISMS) og inneholder definisjoner som brukes ellers i 27000 serien.
  • ISO 27001 forteller deg hva som forventes av et ISMS.
  • ISO 27002 er en samling av god praksis for sikkerhetstiltak. Dette dokumentet inneholder ingen krav du må følge, men gir mange forslag for hvordan du KAN leve opp til ISO 27001.

Om du går for sertifisering av ditt ISMS er det altså ISO 27001 du må tilfredsstille. 27000 hjelper deg forstå hva som menes med definisjoner og forklaring av begreper som brukes. 27002 har forslag til tiltak som kan iverksettes slik at 27001 tilfredsstilles.

Et normalt løp for å få ISO 27001 implementert er:

  • Etablering av et prosjekt for å implementere ISO 27001
  • Selve implementering, hvor du må gjennom en risikovurdering, identifisere og iverksette tiltak for å redusere risikoen og dokumentere dette.
  • Sette opp rutiner for å vedlikeholde prosessene som er skapt, gjøre jevnlige risikovurderinger og passe på at dokumentasjonen er på plass.
  • Drive kontinuerlig forbedring.

Jeg ser at stadig flere virksomheter har ønske om å få på plass et ISMS som følger kravene i ISO 27001. Der noen tar steget fullt ut og går for sertifisering er det andre som «bare» velger å få på plass et ISMS som følger standarden uten at de går for sertifisering. Det er fordeler og ulemper med begge tilnærmingene, men det har jeg tenkt å komme tilbake til i en senere artikkel.


Andre innlegg om ISO 27001 serien:


Bjørn-Are,
Seniorkonsulent hos Knowit Secure; Et firma med spisskompetanse på IT- og informasjonssikkerhet, og de ansatte er Norges dyktigste på sine felt innen sikkerhetstesting og sikkerhetsrådgivning.

PS: Selvsagt kan vi hjelpe deg med ISO 27001! Vi har lang erfaring med implementering og revisjon av ISMS.

Om BA Karolius

Seniorkonsulent innen informasjonssikkerhet hos Knowit Secure AS.

3 kommentarer på “En introduksjon til ISO 27001

  1. Tilbaketråkk: ISO 27001: Formål og popularitet | Knowit Secure

  2. Tilbaketråkk: ISO 27001: Utfordringer du vil møte før du starter | Knowit Secure

  3. Tilbaketråkk: ISO 27001 – Krav som stilles | Knowit Secure

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

w

Kobler til %s

Informasjon

Dette innlegget ble postet den oktober 21, 2015 av i ISMS, ISO 27001 med stikkord , , , .

Siste blogg innlegg

Følg oss på twitter

Skriv inn e-post adresse for å følge denne bloggen og få beskjed på mail når det er nye blogg innlegg.

%d bloggere like this: