Det er en misforståelse at tro at hvis man har kørt et DS484-projekt (den nu udgåede danske standard for informationssikkerhed) så har man styr på sin informationssikkerhed. Det betyder nemlig blot at man på et tidpunkt har indført den checkliste-sikkerhed som den gamle standard krævede. I dag ved man at tilstrækkeligt sikkerhed kun kan fås ved at virksomheden indfører processer det sikrer at der løbende gennemføres en række aktiviteter heriblandt:
- Risikovurdering i regelmæssige intervaller og efter behov
- Løbende opfølgning på risikovurderingerne, herunder stillingtagen og eventuel ændring af de tiltag man indfører (se evt Neuparts skydeskive)
- Regelmæssige målinger (metrikker) af om sikkerheden er god nok
- Intern audit dvs en egen-kontrol af om sikkerhedspolitik og regler følges og om valgte tiltag virker efter hensigten
- Ledelsens løbende stillingtagen til sikkerhedsniveauet.
- Løbende forbedringer, justeringer eller ændringer.
Nøgleord i ISO 27001 er netop processer og løbende forbedringer - uden disse kan man en virksomhed ikke sige man har styr på informationssikkerheden.
Neupart's konsulentafdeling - SecureConsult - har skrevet en vejledning om hvordan man kan skifte fra den udgåede DS 484 til den nye ISO 27001.
Ingen kommentarer:
Send en kommentar