neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
DESCRIPTION
TRANSCRIPT
Fremtiden for standardiseret informationssikkerhed?
Lars Neupart S,-er & direktør Neupart A/S [email protected] twi<er @neupart
Nyheder på vej i ISO 27001 -‐serien ISO 27000 • Overview and vocabulary
ISO 27001 • Informa,on Security Management Systems – Requirements
ISO 27002 • Code of prac,ce for informa,on security management
ISO 27003 • ISMS Implementa,on Guidelines
ISO 27004 • Informa,on Security Management -‐ Measurement
ISO 27005 • Informa,on Security Risk Management
ISO 27006 • Requirements for bodies providing audit and cer,fica,on + + + +
Fremtidens standard er baseret på risiko-‐styring
Allerede i første krav i den ny ISO 27001 refereres til ISO 31000, standard for
Enterprise Risk Management
Alle formelle krav og anbefalinger om DS 484 er udfaset
DS 484 • 2005 • Dansk norm • Checkliste-‐sikkerhed • Opera,onelle krav • “One size fits all”
ISO 27001 • 2013 • Interna,onal Standard • Risikobaseret • Krav ,l ledelsessystem • Tilpasses virksomheden
Så hvad er nyt i ISO 27001 udkastet?
• En masse! • Nyt indhold • Nye numre på krav • Den er stadig kort: 9 sider
med krav til et ”ISMS” • Konkrete tiltag
(”controls”) finder du stadig i Annex A, som refererer til ISO 27002 (den ny)
• Den er rimeligt bagud-‐kompatibel
Virksomheden skal have en proces til at håndtere risici
Mere frihed i dit valg af risikometode
Krav til process: 1. Kriterier for risiko, også
for risikoappetit 2. Risikovurderinger 3. Fortløbende, konsistent
proces, der sikrer sammenlignelige og korrekte resultater
(afsnit 6.1 )
Enterprise Risk Management • (ISO 31000)
Informa,on Security Risk Management • (ISO 27005)
ISMS Requirements • (ISO 27001)
Bedre sammenhæng
Risiko-‐ejer • Godkender handlingsplaner for risikohåndtering og accepterer/afviser risici • Bemærk: Aktiv-‐ejerskab er ikke længere et formelt 27001-‐krav, men findes som ”control” i
Annex A
Risikohåndtering
Accepter Reducér
Del Undgå
Risk Treatment = Risikohåndtering Valgmuligheder jævnfør ISO 27001:2005 og ISO 27005. ISO 27001:2013 kræver ikke 4 former. Men krav, at der er en process. I kan fx vælge disse 4 ,l jeres proces.
SoA hænger tættere sammen med riskokohåndtering
Risikohåndtering
SoA = Statement of Applicability
• Vælg behandlingsform • Vælg tiltag (controls) • Check Annex A for om
nødvendige tiltag er med
• Begrund fravalg OG tilvalg (nyhed)
Hvad skete der lige med PDCA? Plan -‐ Do – Check – Act er der stadig – nu kaldes det ”continual improvement”.
Risikostyring = Risikovurdering + Risikohåndtering
• Risikoejer • (Aktiver) • Trusler • Business Impact
Assessment • Sårbarhedsvurdering • Rapportering og
evaluering • Håndtering: Acceptér,
Reducér, Del eller Undgå
Afstemning på Neupart webinar
Lær mere • Webinarer og seminarer
om it-‐risikostyring og ISO 27001 compliance. Gratis deltagelse.
• http://www.neupart.dk/arrangementer
• On-‐demand adgang til optagede sessioner om den ny ISO 27001 og IT Risk Management
• http://www.neupart.dk/arrangementer/webcasts
Om Neupart • Neupart hjælper virksomheder med it-‐risikostyring
og med at leve op til sikkerhedskrav. Også i skyen!
• Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede IT GRC-‐løsning, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer.
• 200 kunder primært i Danmark, Norge, Tyskland
• ISO27001-‐certificeret – Første it-‐sikkerhedsleverandør i DK. – Certificeret siden 2003 (BS7799 / ISO 27001)
Spørgsmål og svar
• Til John Bonnerup eller Lars Neupart’s indlæg?