ISO 27001: Styringssystem for informasjonssikkerhet

2012_iso-logo_print
ISO 27001 har etterhvert blitt en kjent standard i sikkerhetsmiljøet og stadig flere virksomheter følger denne og søker sertifisering. I dette innlegget gir vi en kort introduksjon til hva denne standarden er, og hva som er viktige fordeler ved å følge den.

Informasjon i alle dets former er ofte en av bedriftens viktigste verdier. At informasjon mistes, at konfidensielle data stjeles eller at viktige dokument skades kan derfor få alvorlige konsekvenser for bedriften. Det er derfor svært viktig at alle systemer som inneholder verdifull informasjon beskyttes mot såvel ondsinnede angrep, menneskelige og tilfeldige feil.
ISO 27001 er en internasjonal standard for implementering av et styringssystem for informasjonssikkerhet. Hensikten er a beskytte bedriftens informasjonsverdier og standarden leder til informasjonssikkerhetsarbeid som er enklere å håndtere, måle og forbedre. Standarden beskriver kravene til et styringssystem for informasjonssikkerhet og legger opp til at sertifiserte organisasjoner skal drive sikkerhetsarbeid som en risikobasert, kontinuerlig forbedringsprosess i henhold til en Plan-Do-Check-Act syklus.

Hvorfor bør man da implementere et styringssystem for å sikre bedriftens verdier? Er det ikke nok å generelt følge god praksis for sikkerhet? Fordelene med å organiserer sikkerhetsarbeidet i henhold til standarden er mange, for eksempel

  • Dere får igangsatt en systematisk måte å arbeide med å kontinuerlig forbedre informasjonssikkerheten i bedriften
  • Bedriftens informasjonsverdier sikres og risikonivået minimeres
  • Dere får en metode som gjør det enklere å ta et helhetsgrep om informasjonssikkerhet som dekker både administrative, fysiske og tekniske sikkerhetstiltak
  • Standarden inneholder også tiltak for å motvirke brudd på eksisterende avtaler og lovgivning
  • ISO 27001 er en internasjonalt erkjent standard som ofte er en fordel i kontraktforhandlinger

Hva er da forskjellen mellom ISO 27001 og ISO 27002, som er en annen velkjent ISO-standard for informasjonssikkerhet? Som min tidligere kollega Jostein har påpekt, så er innholdet i, og formålet med, hoveddelen av standardene helt ulikt. ISO 27002 kan sees på som en A la carte-meny over sikringstiltak, og ISO 27001 gir kravene til et styringssystem for informasjonssikkerhet. Det er kun etterlevelse av ISO 27001 som gir grunnlag for en sertifisering, og det er dermed en referanse til denne man bør ta med i kontraktsforhold dersom det er viktig å kunne presentere et sertifikat på sikkerhetsarbeidet.
I kommende blogginnlegg så kommer vi beskrive de ulike delmomentene i ISO 27001 standarden i mer detalj og forklare hvordan man effektivt implementerer de ulike fasene i styringssystemet. Hold øyene åpne for mer informasjon!