onsdag den 5. november 2014

DS 484 er død. Her er de vigtige forskelle fra DS 484 til ISO 27001

Det er en misforståelse at tro at hvis man har kørt et DS484-projekt (den nu udgåede danske standard for informationssikkerhed) så har man styr på sin informationssikkerhed. Det betyder nemlig blot at man på et tidpunkt har indført den checkliste-sikkerhed som den gamle standard krævede. I dag ved man at tilstrækkeligt sikkerhed kun kan fås ved at virksomheden indfører processer det sikrer at der løbende gennemføres en række aktiviteter heriblandt:
  1. Risikovurdering i regelmæssige intervaller og efter behov
  2. Løbende opfølgning på risikovurderingerne, herunder stillingtagen og eventuel ændring af de tiltag man indfører (se evt Neuparts skydeskive)
  3. Regelmæssige målinger (metrikker) af om sikkerheden er god nok
  4. Intern audit dvs en egen-kontrol af om sikkerhedspolitik og regler følges og om valgte tiltag virker efter hensigten
  5. Ledelsens løbende stillingtagen til sikkerhedsniveauet.
  6. Løbende forbedringer, justeringer eller ændringer.
Nøgleord i ISO 27001 er netop processer og løbende forbedringer - uden disse kan man en virksomhed ikke sige man har styr på informationssikkerheden. 

Neupart's konsulentafdeling - SecureConsult - har skrevet en vejledning om hvordan man kan skifte fra den udgåede DS 484 til den nye ISO 27001.
Send en kommentar