Hvad er ISO27001?

ISO27001 er en international standard til styring af informationssikkerhed. ISO'en er valgt som statslig sikkerhedsstandard efter DS484 og har været obligatorisk at følge for statslige institutioner siden januar 2014. Standarden skal være implementeret af myndighederne primo 2016.

ISO27000-serien består af en række standarder med indbyrdes relationer. Nogle af disse standarder opstiller krav (normative), mens andre er vejledende i forhold til forskellige aspekter af implementering af et ledelsessystem for informationssikkerhed. Det er ikke alle disse standarder, der er udkommet, og der kommer stadig nye til.    

Normative og vejledende krav

ISO27001 er en normativ standard – det vil sige, at den stiller krav – i en serie af standarder kaldet 27000-familien af standarder. Den anden normative standard er ISO27006. I familien indgår der udover de to normative standarder en række standarder med retningslinjer for, hvordan en organisation kan implementere og overholde de normative standarder. Nedenfor er en oversigt over de vigtigste standarder i 27000-familien (nogle af disse standarder er stadig under udarbejdelse):

ISO27000 Retningslinjer Indeholder en oversigt over 27000-familien samt de definitioner og forudsætninger, der anvendes i resten af standarderne
ISO27001 Normativ Indeholder krav til, hvorledes et informationssikkerhedsledelsessystem skal implementeres og vedligeholdes
ISO27002 Retningslinjer Indeholder en liste af alment anerkendte kontroller, der kan bruges som hjælp ved udvælgelsen og implementeringen af de kontroller, der er nødvendige for at opnå passende informationssikkerhed i en given organisation
ISO27003 Retningslinjer Indeholder retningslinjer for implementering af ISO/IEC 27001
ISO27004 Retningslinjer Indeholder retningslinjer for, hvordan man kan måle effektiviteten af et informationssikkerhedsledelsessystem
ISO27005 Retningslinjer Indeholder retningslinjer for risikovurdering og -styring
ISO27006 Normativ Indeholder krav til organisationer, der skal certificere andre organisationer efter ISO/IEC 27001
ISO27007 Retningslinjer Indeholder retningslinjer for, hvordan man kan udføre revision af et informationssikkerhedsledelsessystem

Hvorfor ISO27001?

Der er flere grunde til valget af ISO27001 som sikkerhedsstandard:

  • Standarden tager udgangspunkt i den enkelte institutions risikoprofil og lægger op til, at der implementeres netop de sikkerhedsforanstaltninger og kontrolprocedurer, der er passende for den enkelte institution
  • ISO27001-standarden lægger stor vægt på ledelsens engagement og bevidste stillingtagen til hvilke procedurer, der skal indføres og hvordan.
  • Standarden indeholder en liste af mulige kontroller, der kan indføres for at opnå et passende sikkerhedsniveau, men den lægger vægt på, at listen ikke er udtømmende, så der kan være organisationer, der skal implementere flere eller andre kontroller. Det fordrer en vis grad af modenhed i den organisation, der anvender ISO27001, men giver også mulighed for løbende tilpasning i takt med ændringer i organisationen, teknologi og trusselsbilledet. 
  • Den internationale standard har en fleksibilitet i forhold til, at den kan anvendes sammen med andre rammeværk for informationssikkerhed som f.eks. CoBit eller ISF standard of good practice.
  • ISO27001 er en international standard, hvilket letter samarbejdet med andre lande og i højere grad sikrer den nødvendige vedligeholdelse af standarden. Vedligeholdelse af ISO-standarder varetages af internationalt sammensatte ekspertgrupper, der med jævne mellemrum vurderer behovet for revision.<

Standard sikrer ensartede sikkerhedsprocesser

Brug af en fællesstatslig sikkerhedsstandard går tilbage til 2004, hvor regeringen besluttede at indføre en fælles standard for informationssikkerhed i staten, DS484. Det var primært for at sikre et ensartet højt sikkerhedsniveau, så borgerne kunne føle sig trygge ved den digitale forvaltning.

På det tidspunkt var ISO-standarderne ikke så udbyggede, som de er i dag, og der blev derfor udarbejdet en dansk standard, der imødekom behovet for forbedring af informationssikkerheden i Danmark. I dag bliver DS484 ikke længere vedligeholdt og er derfor udfaset til fordel for ISO27001.