11. december 2011

ISO 27001 afløser DS 484

Ny standard for it-sikkerhed - ISO 27001 afløser DS 484

Danmark var et af de første lande til at indføre en fælles standard for informationssikkerhed i staten. Hidtil har DS 484 været statens officielle standard for it-sikkerhed; nu tager den internationale standard ISO 27001 over.

Skiftet sker som en glidende overgang men skal senest være gennemført, når den igangværende revision af ISO 27001 er færdig, hvilket forventes at ske i løbet af 2013. Ligesom den ”gamle” standard DS 484 indeholder ISO 27001 krav til, hvordan et system for it-sikkerhedsledelse skal udformes, implementeres og vedligeholdes. 

Der er flere fordele ved den nye standard:

  • Den tager udgangspunkt i den enkelte institutions risikoprofil  og lægger op til, at institutionen implementerer netop de kontrolprocedurer, der passer til den.
  • Den lægger stor vægt på, at ledelsen er engageret i organisationens it-sikkerhed og beskriver, hvordan organisationen skal implementere et ledelsessystem.
  • Den kan uden problemer bruges sammen med andre rammeværktøjer for informationssikkerhed som CoBit og ISF standard of good practice.
  • Den er en international standard, hvilket både gør det let at samarbejde med udlandet og sikrer, at standarden bliver vedligeholdt løbende.

Lidt om ISO 27001 og resten af 27000-familien 

ISO 27001 er en del af den såkaldte 27000-familie af standarder. Det er en normativ standard, hvilket vil sige, at den stiller krav. Det samme gør dens fætter ISO 27006, som indeholder krav til organisationer, der skal certificere andre organisationer efter ISO 27001.

De øvrige standarder i 27000-familien indeholder oversigter og retningslinjer for blandt andet måling af effektiviteten af it-sikkerhedsledelsessystemet og it-revision. Af dem er ISO 27003 mest interessant i denne forbindelse, fordi den indeholder retningslinjer for implementering af ISO 27001.

Selv om ISO 27001 ikke direkte omfatter private virksomheder, kan den være god at kende for virksomheder, der vil arbejde med styring og strukturering. Kontakt os endelig, hvis du er interesseret eller har spørgsmål til ISO 27001 og andre ISO 27000 standarder.