5. februar holdt Jostein Jensen et foredrag på det årlige IKT-rettskurset, hvilket er et kurs rettet mot advokater og jurister som arbeider med IKT-kontrakter. De siste årene har referanser til ISO-standardene 27001 og 27002 stadig oftere dukket opp i kontraktsforhandlingssammenheng. Samtidig har det hersket en viss usikkerhet om hva som egentlig ligger i de to standardene, og om det er hipp som happ om man refererer til den ene eller andre standarden i kontraktene som skrives. En kort redegjørelse for historie, forskjeller og likheter følger:
Arbeidet med det som nå er ISO 27002 startet på 80-tallet da britiske myndigheter fikk donert et internt sikkerhetsdokument fra en industriell aktør. Et senter for datasikkerhet under UK Department of Trade and Industry jobbet videre med dokumentet og ga det ut som en sikkerhetsguide til sine medlemmer helt på slutten av 80-tallet. I de etterfølgende årene arbeidet britiske standardiseringsmyndigheter videre med dokumentet sammen med en rekke industriaktører, og i 95 ble det utgitt som Britisk Standard – BS7799. Dokumentet ga eksempler på hvilke sikkerhetstiltak organisasjoner burde vurdere å implementere. Senere ble den britiske standarden tatt opp som en internasjonal standard av International Organization for Standardization (ISO), og etter revisjon og konsensus fra ISOs medlemsland publisert som ISO17799 i 2005, og døpt om til ISO27002 i 2007 (ISO17799 og ISO27002 er med andre ord identiske i innhold). ISO 27002 kan sees på som A la carte-meny som beskriver 11 ulike områder hvor man bør tenke sikkerhet. For hvert av disse områdene defineres flere sikringstiltak med implementasjonsguide. 133 ulike sikringstiltak beskrives. Organisasjoner kan altså bruke ISO27002 som en plukkliste for sikringstiltak i sitt arbeid med å sikre sine informasjonsverdier. ISO 27002 er en veiledningsstandard.
Etterhvert som flere aktører tok i bruk smørbrødlisten (den opprinnelige BS7799) kom et ønske om at sikkerhetsarbeidet burde kunne sertifiseres. I 1999 la man til et part 2 av BS7799, og det er denne delen som ble til ISO27001 og standardisert av ISO i 2005. ISO27001 beskriver kravene til et styringssystem for informasjonssikkerhet. Standarden legger opp til at sertifiserte organisasjoner skal drive sikkerhetsarbeid som en risikobasert, kontinuerlig forbedringsprosess. Sikkerhetsarbeidet skal planlegges, implementeres og monitoreres/måles. Dersom man finner forbedringspunkter, eller dersom risikobildet endres, skal man forbedre situasjonen. Demings forbedringsmodell med en Plan-Do-Check-Act syklus ligger til grunn. En sertifisering etter ISO 27001 forteller at den sertifiserte bedriften etterlever kravene som stilles til et styringssystem for informasjonssikkerhet i henhold til standarden.
Kilde: http://www.iso27001security.com
Innholdet i, og formålet med, hoveddelen av standardene er helt ulikt. Samtidig er det likheter i dokumentene. ISO 27001 inneholder et Appendix A som beskriver 11 områder man bør tenke sikkerhet og 133 ulike sikringstiltak. Listen over områder og sikringstiltak er nøyaktig den sammen som man finner i ISO27002 kapittel 5 til 15. Følges ISO27001 standarden SKAL alle de 133 sikringstiltakene i Appendix A vurderes implementert som en del av det risikoreduserende arbeidet, mens ISO27002 gir oss veiledning på at vi BØR implementere tiltakene.
Oppsummert: ISO 27002 kan sees på som en A la carte-meny over sikringstiltak, og ISO27001 gir kravene til et styringssystem for informasjonssikkerhet. Det er kun etterlevelse av ISO27001 som gir grunnlag for en sertifisering, og dermed en referanse til denne man bør ta med i kontraktsforhold dersom det er viktig å kunne presentere et sertifikat på sikkerhetsarbeidet.
Vær obs på at et sertifikat ikke nødvendigvis sier noe om sikkerhetsnivået til den sertifiserte bedriften. (Dette kan vi komme tilbake til senere.)