ISO 27001 stiller stadig krav til et Information Security Management System (ISMS), som kan oversættes til "ledelsessystem for informationssikkerhed". Kravene falder stadig inden for de samme emner, og den rigtigt gode nyhed er, at virksomhederne har fået større frihed til at vælge, hvordan de i praksis efterlever kravene. Mere funktion, mindre form, som en af mine kollegaer udtrykker det.
Risikostyring = Risikovurdering + Risikohåndtering
Risikostyring har nu en endnu mere central placering i virksomhedens ISMS. Risikostyring består i al væsentlighed af en proces for risikovurdering og en proces for risikohåndtering (risk treatment). |
| Road to SoA - and beyond |
I den ny ISO 27001, såvel som i den gamle, findes et centralt dokument, der hedder Statement of Applicability (SoA). Det er nyt, at SoA'en skal være tæt forbundet med jeres proces for risikohåndtering, og det er nyt at I skal udpege risikoejere, som godkender jeres risikohåndtering og jeres risikovillighed, også kaldet risiko-appetit.
SoA beskriver hvilke tiltag (controls på engelsk), der indgår i jeres ISMS. Det er nyt, at I skal begrunde både tilvalg og fravalg; en fin forbedring af standarden. Da SoA er eller bliver så centralt et dokument i jeres ISMS, har Neupart lavet en gratis vejledning til, hvordan I mest effektivt kan lave jeres SoA.
HER KAN DU HENTE SOA VEJLEDNINGEN - registrering er ikke nødvendig.
Her finder du flere ISO 27001 ressourcer:
SecureAware ISMS-værktøj
Webinar om hvordan du laver en SoA
Webinar om risikovurdering
Webinar om risikohåndtering
Live Demo Webinar: Værktøj til risikovurdering og-håndtering
Seminar om den ny ISO 27001
Blogpost om hvordan ny ISO 27001 påvirker jeres risikostyring
Om forfatteren: Lars Neupart er stifter af Neupart og vil gerne fortælle dig at SecureAware = effektiv it-sikkerhedsledelse. Følg ham på Twitter.
Ingen kommentarer:
Send en kommentar