fredag den 11. oktober 2013

Den ny ISO 27001 er udkommet: Vejledning til Statement of Applicability (SoA-dokument)

I sidste uge udkom 2013-udgaverne af de udbredte standarder for informationssikkerhed, ISO 27001 og 27002. Det er 8 år siden de sidst blev opdateret, og de nye udgaver indeholder en række forbedringer, som bør interessere virksomheder, der læner sig op ad ISO 27001, eller som skal efterleve den.

ISO 27001 stiller stadig krav til et Information Security Management System (ISMS), som kan oversættes til "ledelsessystem for informationssikkerhed". Kravene falder stadig inden for de samme emner, og den rigtigt gode nyhed er, at virksomhederne har fået større frihed til at vælge, hvordan de i praksis efterlever kravene. Mere funktion, mindre form, som en af mine kollegaer udtrykker det.


Risikostyring = Risikovurdering + Risikohåndtering

Risikostyring har nu en endnu mere central placering i virksomhedens ISMS. Risikostyring består i al væsentlighed af en proces for risikovurdering og en proces for risikohåndtering (risk treatment).
Road to SoA - and beyond

I den ny ISO 27001, såvel som i den gamle, findes et centralt dokument, der hedder Statement of Applicability (SoA). Det er nyt, at SoA'en skal være tæt forbundet med jeres proces for risikohåndtering, og det er nyt at I skal udpege risikoejere, som godkender jeres risikohåndtering og jeres risikovillighed, også kaldet risiko-appetit.

SoA beskriver hvilke tiltag (controls på engelsk), der indgår i jeres ISMS. Det er nyt, at I skal begrunde både tilvalg og fravalg; en fin forbedring af standarden.  Da SoA er eller bliver så centralt et dokument i jeres ISMS, har Neupart lavet en gratis vejledning til, hvordan I mest effektivt kan lave jeres SoA.


HER KAN DU HENTE SOA VEJLEDNINGEN - registrering er ikke nødvendig.


Her finder du flere ISO 27001 ressourcer:

SecureAware ISMS-værktøj
Webinar om hvordan du laver en SoA
Webinar om risikovurdering
Webinar om risikohåndtering
Live Demo Webinar: Værktøj til risikovurdering og-håndtering
Seminar om den ny ISO 27001
Blogpost om hvordan ny ISO 27001 påvirker jeres risikostyring


Om forfatteren: Lars Neupart er stifter af Neupart og vil gerne fortælle dig at SecureAware = effektiv it-sikkerhedsledelse. Følg ham på Twitter.

PS: Klik her for at følge os på LinkedIn.

Send en kommentar