ISO 27001

Håndbog for forretningsarkitekter & enterprise arkitekt

Forretningsarkitekten forstår forretningen, teknologierne og kan arbejde med strategier og processer på tværs af organisationen.

Enterprise arkitekten kan udvikle en fremtidig enterprise arkitektur, der kan forstås af forretningen så den kan blive fulgt i praksis.

 

ISO 27001

 

ISO 27001:2013 er en internationale standard, som specificerer kravene til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed (ISMS) inden for virksomhedens rammer. Denne standard indeholder også krav til vurdering og håndtering af informationssikkerhedsrisici, som passer til virksomhedens behov. Kravene i denne internationale standard er generiske og er beregnet til at gælde for alle virksomheder, uanset type, størrelse og art.

ISO 27001:2013 indeholder i alt syv sikkerhedsområder (pkt. 4 til og med 10), som skal være opfyldt, hvis man vil følge standarden. ISO 27002:2013 (anneks A) indeholder 14 punkter om sikkerhedskontroller, der tilsammen omfatter 35 sikkerhedskategorier og 114 kontroller, der skal argumenteres for om man gør eller ikke gør.

 

Hvis man undlader at opfylde et af kravene i pkt. 4 til 10 følger man ikke standarden.

 

Hvad er logiken i ISO 27001?

Det kan være vanskeligt at bevare overblikket over politik, retningslinjer, processer og instrukser samt hvad forskellen er, hvorfor jeg har illustreret det i nedenståendel figur 1.

 

 

 

 

 

 

 

 

 

 

 

Figur 1: Dokumentations logik

 

Politikker: Hensigter og udviklingsretninger som er udtrykt af topledelsen

Retningslinjer: Rammer som afspejler hvilke valgte SoA elementer der skal efterleves

Processer: Beskrivelser af specifikke aktiviteter (Hvem gør hvad?)

Instrukser: Konkrete arbejdsbeskrivelser (Hvordan gøres det?)

 

 

Hvilke dokumentkrav er der i ISO 27001:2013?

Der er direkte og indirekte krav til at man dokumenterer sin politik, retningslinjer, instrukser på nedenstående områder.

 

  • Kap 4. Organisationens kontekst
  • Kap 5. Lederskab
  • Kap 6. Planlægning
  • Kap 7. Support
  • Kap 8. Drift
  • Kap 9. Evaluering
  • Kap 10. Forbedring

 

Bemærk at under Kap 6 planlægning ligger der "skjult" 114 kontroller som også skal dokumenteres. De 114 kontroller omhandler nedenstående områder:

 

  • A.5 Informationssikkerhedspolitikken
  • A.6 Organisering af informationssikkerhed
  • A.7 Personalesikkerhed
  • A.8 Styring af aktiver
  • A.9 Adgangsstyring
  • A.10 Kryptografi
  • A.11 Fysisk sikring og miljøsikring
  • A.12 Driftssikkerhed
  • A.13 Kommunikationssikkerhed
  • A.14 Anskaffelse, udvikling og vedligeholdelse af systemer
  • A.15 Leverandørforhold
  • A.16 Styring af informationssikkerhedsbrud
  • A.17 Informationssikkerhedsaspekter ved nød-, beredskabs og reetablering
  • A.18 Overensstemmelse

Min anbefaling

Jeg anbefaler at man starter med at lave tage udgangspunkt i en kritiske aktive (fx it systemer), hvorefter man laver en risikovurdering, og efterfølgende en risikhåndteringsplan. Når risikohåndteringsplanen er færdig, skal der etableres et informationssikkerhedsudvalg, som skal tage stilling til risikohåndteringsplanen (på samme måde som beskrevet under fanen "projektledelse" og "metode til styregruppen"). Når man har fået informationssikkerhedsudvalget på plads, og de har truffet beslutninger og implementeret risikohåndteringsplanen, så har man i virkeligheden sit ISMS, som blot skal dokumenteres. Derefter kan øvrige ISO 27001:2013 krav gennemgås og der kan træffes beslutninger om sikkerheden for hele organisationen.

 

Bemærk der er mange definitions friheder i ISO 27001 hvor fx. risikovurderingsmetoden er op til virksomheden selv at vælge den man ønsker at bruge. Denne frihed gør også at der er mange måder at løse opgaven på. Fx. har digitaliseringsstyrelden selv to forskellige måde at definere:

 

 

 

 

Dette betyder at man skal være bevidst om at der kommer mange magtkampe (det diskursive felts hegemoni) om definitionerne på begreberne man bruger (Læs evt. mere om dette under fanen "Filosofi" og underfanen "ANT & Diskurs"

 

 

Opgavens størrelse overrasker de fleste, da organisationens kritiske processer skal dokumenteres. Dette kræver mange opklaringsmøder med ledelsen, da det er ledelsen som skal bestemme hvilke processer der er kritiske for forretningens eksistens. Bemærk at dette arbejde kan ikke laves uden ledelsens samarbejde..

Fortrolighed

Integritet

Tilgængelighed

Fortrolighed

Pålidelighed

Tilgængelighed