Fra DS484 til ISO27001

Mange sikkerhedskoordinatorer har erfaringer med implementering af DS484, den obligatoriske standard fra 2007 til 2014. Selv om DS484 var rigid og svær at arbejde med er der elementer fra DS484 der kan genbruges i ISO27001-arbejdet.

I 2010 besluttede regeringen, at det skulle være muligt at vælge mellem den danske standard DS484 og den internationale standard ISO27000-serien. ISO-standarden stiller færre bindende krav til institutionerne, og sikkerhedsforanstaltningerne vil i højere grad afhænge af den enkelte institutions behov. 

ISO-standarden blev obligatorisk for staten efter den blev revideret og oversat til dansk i januar 2014. Kort fortalt opfattes DS484 ofte som en tjekliste for implementering af sikkerhed i it-miljøer. Et kritikpunkt har været, at den har medført omfattende administrative omkostninger for statens institutioner uden hensyntagen til risikoprofil. 

Ledelsesforankring

Med ISO27001 er det blevet muligt at tage udgangspunkt i en risikovurdering af forretningens processer og aktiver og derfra udarbejde et beslutningsdokument, hvor der aktivt skal foretages en række til- og fravalg af en række sikkerhedskontroller. Groft sagt, svarende til de kendte sikkerhedsforanstaltninger i DS484. Den afgørende forskel på de to standarder er dog hensynet til ledelsesforankringen. 

I ISO27001 forventes det, at ledelsen tager styringen og etablerer et ledelsessystem for styring af informationssikkerhed. Dette kaldes et ISMS (Information Security Management System). Omdrejningspunktet i ISO27001 handler om ledelsessystemet og om at etablere løbende forbedre processer til styring af informationssikkerhed. 

Genbrug

Arbejdet med med DS484 kan stadig bruges. Sikkerhedsforanstaltningerne i DS484 kan i et vist omfang sidestilles med ISO27002, som indeholder 114 sikkerhedskontroller og implementeringsvejledninger til disse. Når risikovurderingen er gennemført og beslutningsdokumentet (SoA) udarbejdet, er det resultatet af beslutningsdokumentet som sætter rammen for, hvilke kontroller der skal implementeres. 

ISO27001 rummer også mulighed for at anvende andre standarder udover ISO27002 i arbejdet med at implementere sikkerhedskontroller. Dette kunne fx være Cobit, ISF, ITIL, PCI DSS og NIST.