tirsdag den 3. juni 2014

Tips og erfaringer med it-sikkerhedshåndbøger og -politikker - Ny vs gammel ISO 27002

Nu har jeg arbejdet med informationssikkerhed i en del år og har set mange forskellige politikker, regler, procedurer, forretningsgange, og andre former for dokumentation på sikkerhedsområdet. Det der virker bedst er, at have en klar, veldefineret opdeling, fx

  1. Politik: Vores ambitionsniveau og mål, hvad vil vi, hvem er omfattet. Bør være kort, gerne højst en side.
  2. Regler:  Hvad gør vi, hvad gør vi ikke, hvad vi må og ikke må. Reglerne skal være præcise i forhold til, hvem der skal udføre de forskellige aktiviteter.
  3. Procedurer: Sådan-gør-vi-dokumenter.

Jeg vil koncentrere resten af dette indlæg om regel-dokumentet, som har det med at blive (for) langt for en del virksomheder. Et godt råd er derfor at lave målgruppeopdeling, så en bruger kun behøver at læse de regler, der har relevans i forhold til hendes/hans job. Nogle virksomheder skriver og trykker en slutbruger-venlig folder, nogle gange kaldet en pixi-bog om informationssikkerhed.

Og så er der det med strukturen, altså hvilke afsnit skal regel-dokumentet indeholde? Der er modstridende ønsker fra brugere, der har behov for beskrivende overskrifter i en for dem logisk rækkefølge, og fra jer der mere direkte arbejder med virksomhedens informationssikkerhed. Den sidste gruppe har i årevis foretrukket at se deres regler struktureret efter enten den udgående Danske Standard DS 484 eller den forrige ISO 27002 fra 2005. Det er bekvemt for sikkerhedsafdelingen eller it-afdelingen, fordi standarderne er et udtryk for "best practice" og så er det nemt at se, om man har alt det med, man ønsker. Det sker lidt på bekostning af brugervenligheden, men ok, det kan delvist håndteres med pixi-bogen som tillæg til det egentlige regeldokument.

Som bekendt er ISO 27002 blevet opdateret for godt et halvt år siden. Spørgsmålet er derfor, om reglerne i jeres it-sikkerhedshåndbog nu skal skifte struktur til den nye udgave? 2013-udgaven minder meget om 2005-versionen, men en del afsnit er flyttet rundt, noget er udgået og nyt er kommet til. Så afsnitsnummerering selv på øverste niveau er ændret. Standarden beskriver som bekendt nogle sikkerhedstiltag (controls) med en tredelt nummerering. Eksempelvis er control nr. 8.1.1 i 2005 udgaven ikke det samme som control nr. 8.1.1 i den nye udgave.

Svaret på om I skal skifte er et klart "ja". I skal selvfølgelig holde jeres informations-sikkerhed ajour og det er ikke effektivt, ej heller god skik, at følge udgåede standarder for informationssikkerhed.

For at hjælpe jer på vej er her et lille overblik over hovedafsnittene i ISO 27002 - dels ny vs gammel ISO 27002 og dels DS 484 vs ISO 27002:2013

Hvis I bruger et ISMS-værktøj, som for eksempel SecureAware, kan skiftet ske mere eller mindre automatisk. Den seneste udgave af SecureAware indeholder nogle nye værktøjer, der kan vise en automatisk gap-rapport på jeres gamle håndbog i forhold til den nye standard. Og fordi den kender både den nye og den gamle standard kan den på ingen tid producere et udkast til jeres regler baseret på den nye 27002. Den flytter simpelthen jeres regler rundt og placerer dem i et afsnit, der er retvisende for reglen og baseret på den nye udgave. Den kan placere op til 90% af jeres regler rigtigt, og de sidste kan I hurtigt selv flytte hen på rette sted.

Læs mere om nyhederne i SecureAware her

Har du erfaringer eller holdninger til den gode, effektive it-sikkerhedshåndbog? Del og kommenter gerne nedenfor.


Øvrige ressourcer:
Deltag på 30-minutters webinar: It-sikkerhedshåndbog med den ny ISO 27002
Tilmeld dig vores øvrige webinarer og arrangementer her: www.neupart.dk/arrangementer
Send en kommentar