Knowit Secure

Vi gjør IT sikrere!

ISO 27001 – Krav som stilles

ISO27001 CertificationJeg tror jeg har skrevet nok om hva ISO 27001 er, hvilket formål den har og mulige utfordringer. På tide å sjekke hvilke krav ISO 27001 stiller!


Det er 7 dimensjoner ISO 27001 tar for seg:

1: Virksomheten og omgivelsene

Dere skal starte med en kartlegging av egne og andres krav til ditt styringssystem for informasjonssikkerhet (Information Security Management System – ISMS).

Eksempler på egne krav kan være at dere vil sikre konfidensialitet, integritet og tilgjengelighet på data dere er i besittelse av. Andres krav kan være lover og regler dere må forholde deg til samt krav og forventninger fra leverandører, partnere eller kunder.

2: Ledelsen

ISO 27001 stiller krav til at ledelsen må støtte opp om implementering og drift av styringssystemet. Det er ikke nok at den gjør dette med en underskrift på en erklæring eller gjennom godkjennelse av prosjektet for å implementere styringssystemet. De må forplikte seg til kontinuerlig oppfølging av aktiviteter og å holde seg oppdatert om gjeldende status innen området.

3: Planlegging

Med de kravene og forventningene som ble funnet tidligere er det på tide å finne ut hvilken risiko (og muligheter) dere står ovenfor. Etablering av en metode for, og gjennomføring av, risikovurdering er viktig slik at dere vet hvilken risiko dere er utsatt for slik at dere kan finne og få på plass tiltak som redusere risikoen til akseptable nivåer.

4: Ressurser

Ressurser (som arbeidskraft og penger) må gjøres tilgjengelige slik at implementering og videre drift av støttesystemet er sikret. Det stilles krav til kompetanse for de som er involvert, samt at de vet hva som forventes av dem, at det etableres kommunikasjonskanaler og at styringssystemet dokumenteres.

5: Drift

Når dere har fått styringssystemet på plass går det over i kontinuerlig drift. Det må også sørges for at dokumentasjonen av styringssystemet oppdateres etter som ting endres og at alle til enhver tid vet hva som forventes i denne sammenheng.

6: Evaluering

Gjennomfør regelmessige møter med ledelsen for å holde dem oppdatert om status, orientere om sikkerhetshendelser og i hvilken grad dere er i stand til å nå målene som er satt. Sjekk at prosesser følges gjennom regelmessige interne og/eller eksterne revisjoner.

7: Forbedring

Standarden stiller sist krav til kontinuerlig forbedring. Det er ikke nok å bare få på plass et styringssystem! Dere må sørge for at det er levende fra dag til dag: Nye trusler dukker stadig opp, nye ideer om hvordan dere best sikrer dere kommer frem, dere lærer av egne erfaringer. Finner dere et avvik, må avviket dokumenteres og tiltak iverksettes for å få det dekket.


Andre innlegg om ISO 27001 serien:


Bjørn-Are (med god hjelp fra andre i Knowit Secure),
Seniorkonsulent hos Knowit Secure; Et firma med spisskompetanse på IT- og informasjonssikkerhet, der de ansatte er Norges dyktigste på sine felt innen sikkerhetstesting og sikkerhetsrådgivning.

Om BA Karolius

Seniorkonsulent innen informasjonssikkerhet hos Knowit Secure AS.

3 kommentarer på “ISO 27001 – Krav som stilles

  1. Tilbaketråkk: En introduksjon til ISO 27001 | Knowit Secure

  2. Tilbaketråkk: ISO 27001: Formål og popularitet | Knowit Secure

  3. Tilbaketråkk: ISO 27001: Utfordringer du vil møte før du starter | Knowit Secure

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

w

Kobler til %s

Informasjon

Dette innlegget ble postet den november 25, 2015 av i ISMS, ISO 27001 med stikkord , , , .

Siste blogg innlegg

Følg oss på twitter

Skriv inn e-post adresse for å følge denne bloggen og få beskjed på mail når det er nye blogg innlegg.

%d bloggere like this: