Virksomheder over hele verden står i dag over for en række hidtil usete sikkerhedsudfordringer. Aldrig har der været så mange og omfattende sikkerhedsrisici og aldrig har det været vigtigere at beskytte sig imod dem.

ISO 27001 er en struktur, som giver et godt fundament for at opbygge et informationssikkerhedssystem. Standarden definerer et administrativt framework til at kontrollere og give retningslinjer for virksomhedens sikkerhedsproblemer og dermed sikre, at sikkerhedsadministrationen bliver en del af den generelle administration i en organisation.

Med denne standard kan du tage højde for al information i forskellige former og alle risici forbundet dermed og du får samtidig en måde at løse hvert enkelt potentielt problem omhyggeligt på og kan dermed sikre dine informationer.

Herunder kan du i 3 forskellige artikler læse lidt om ISO 27001 i sig selv og i relation til Persondataforordningen og dermed blive lidt klogere på, hvad der skal til for at sikre din virksomhed bedst muligt.

 

 

ISO 27001 vs. ISO 27002

Forfatter: Dejan Kosutic*

Hvis du har læst om både ISO 27001 og ISO 27002, har du sikkert lagt mærke til, at ISO 27002 er langt mere detaljeret og præcis end ISO 27001 – så hvad er formålet ISO 27001?

Du kan først og fremmest ikke blive ISO 27002 certificeret, for det er ikke en administrativ standard – eller en ”management standard”. Og hvad er så en management standard? Sådan en standard definerer, hvordan man skal køre et system og i tilfældet ISO 27001 definerer det også det såkaldte information security management system (ISMS) – og derfor er det muligt at blive ISO 27001 certificeret.

Dette administrationssystem medfører, at informationssikkerheden skal planlægges, implementeres, overvåges, gennemgås og forbedres. Det betyder, at ledelsen har bestemte ansvarsområder, at man skal opstille mål, som skal måles og gennemgås, at interne revisioner skal udføres osv. Alle disse elementer er defineret i ISO 27001, men ikke i ISO 27002.

Kontrollerne i ISO 27002 hedder det samme som i Annex A i ISO 27001 – fx kaldes kontrol 6.1.6 I ISO 27002 ”Contact with authorities”, og det hedder i ISO 27001 A.6.1.6 ”Contact with authorities”. Men forskellen er detaljeringsniveauet - ISO 27002 forklarer i gennemsnit en kontrol på en hel side, mens ISO 27001 kun bruger en sætning på hver kontrol.

Endelig er forskellen, at ISO 27002 ikke skelner mellem kontroller, der er relevante for en bestemt organisation og dem, der ikke er relevante. På den anden side fastsætter ISO 27001, at der skal udføres en risikovurdering for hver kontrol for at identificere, om den er nødvendig for at nedsætte risikoen, og hvis den er, så i hvilket omfang den så skal benyttes.

Spørgsmålet er: Hvorfor eksisterer de to standarder separat, hvorfor er de ikke lagt sammen, så man samler de positive aspekter i begge standarder? Svaret er brugervenlighed. Hvis det var en samlet standard, ville den være for kompleks og for stor til at kunne bruges i praksis.

Alle standarder i ISO 27000 serien er designet med et bestemt fokus – hvis du vil bygge et fundament for informationssikkerheden i din organisation og udvikle dens struktur - eller framework – skal du bruge ISO 27001; hvis du vil implementere kontroller skal du benytte ISO 27002, hvis du vil udføre risikovurderinger og risikoafhjælpning skal du bruge ISO 27005 etc.

Konkluderende kan man sige, at uden de detaljer, der er indeholdt i ISO 27002, kunne man ikke implementere de kontroller, der er defineret i Annex A af ISO 27001. Men uden det administrative framework i ISO 27001, ville ISO 27002 bare være et isoleret fokusområde for nogle få informationssikkerheds-entusiaster, der ikke ville opnå accept fra topledelsen og derfor ikke ville have nogen reel effekt på organisationen.

*Kilde: Oversat fra https://advisera.com/27001academy/blog/

 

 

 

 

Efterkommer ISO 27001 implementeringskravene i Persondataforordningen?

Forfatter: Carla Bouca**

Jeg har på det seneste fået mange spørgsmål som: “Hvis vi implementerer ISO 27001 i min organisation, vil vi så fuldt ud overholde kravene i EU's Persondataforordning?” og ”Vores virksomhed er ISO 27001 certificeret. Betyder det, at vi allerede overholder Persondata-forordningen?”

Den nye lovgivning introducerer et sæt regler, der kræver, at organisationer implementerer kontroller til at beskytte personlige data. En implementering af ISO 27001 vil hjælpe organisa-tionerne med at imødekomme disse krav.

Men behøver min organisation overholde Persondataforordningen?

Som jeg skrev i min seneste artikel: ”Hvad er Persondataforordningen og hvorfor gælder den i hele verden?” er der to typer af ansvar i forbindelse med beskyttelse af personlige data – data ”controllers” og data ”processors.”

Nærmere bestemt er en virksomhed, der undersøger formål og metoder i håndteringen af data, en såkaldt “controller” (på dansk en dataansvarlig). En virksomhed, der håndterer personlige data på ”controllerens” vegne, kaldes en “processor” (på dansk en databehandler).

Så de organisationer, der skal overholde Persondataforordningen er virksomheder (controllers og processors) uanset om de er etableret i EU eller ej, tilbyder varer eller services inden for EU eller til EU individer.

 

Hvordan hænger EU GDPR og ISO 27001 sammen?
(GDPR er engelsk for ”General Data Protection Regulation” = Persondataforordningen)

ISO 27001 er en konstruktion – eller et framework – der er designet til at beskytte informationer. Ifølge Persondataforordningen er personlige data kritisk information, som alle organisationer skal beskytte. Men der er naturligvis nogle af Persondataforordningens krav, der ikke er direkte dækket af ISO 27001, såsom understøttelse af rettigheder af personlige data emner: retten til at blive informeret, retten til at få sine data slettet, og data portabilitet. Men hvis en implementering af ISO 27001 identificerer personlige data som et informationssikkerhedsmæssigt aktiv, vil de fleste af Persondataforordningens krav være dækket.

Med ISO 27001 kan man sikre denne beskyttelse. Der er mange punkter, hvor ISO 27001 standarden kan hjælpe virksomheder med at opnå compliance med den nye lovgivning. Her er et par af de mest relevante:
 

Risikovurdering

Med tanke på de høje bøder, der er defineret i Persondataforordningen, og den store økonomiske betydning, det vil have på organisationer og virksomheder, er det kun naturligt, at den risiko, der findes under en risikovurdering, der drejer sig om personlige data, er for høj til, at man ikke tager sig af den.

På den anden side er et af de nye krav i Persondataforordningen implementeringen af Data Protection Impact Assessments, hvor virksomheder først skal analysere deres risiko i forbindelse med private oplysninger. Selvfølgelig skal personlige data under implementeringen af ISO 27001 klassificeres som meget kritiske, men ifølge kontrol A.8.2.1 (Classification of information) skal: ”Informationen klassificeres i forhold til juridiske krav, værdi, farlighed og sensitivitet over for offentliggørelse eller modifikationer”.

Compliance

Når man implementerer ISO 27001, er det pga. kontrol A.18.1.1 (”Identification of applicable legislation and contractual requirements”) obligatorisk at have en liste med de relevante lovgivningsmæssige og kontraktmæssige krav. Hvis organisationen skal overholde Persondataforordningen (se afsnittet ovenfor) skal denne lovgivning være en del af listen. Uanset hvad og selv om organisationen ikke er omfattet af Persondataforordningen, guider kontrol A.18.1.4 (Privacy and protection of personally identifiable information) af ISO 27001 organisationer gennem implementeringen af en data policy og beskyttelse af personligt identificerbar information (PII).

Meddelelse om overtrædelser

Virksomheder skal give besked til data myndighederne inden for 72 timer efter, at et brud eller en overtrædelse er opdaget. Implementeringen af ISO 27001 kontrol A.16.1 (Management of information security incidents and improvements) sikrer ”en løbende og effektiv tilgang til administrationen af informationssikkerhedsmæssige hændelser, herunder kommunikation af sikkerhedsbegivenheder”. Ifølge Persondataforordningen skal man også give besked direkte til data ”subjekter” (”Et data subjekt er et levende individ, hvortil der hører personlige data”) men kun, hvis disse data udgør en ”høj risiko for data subjektets rettigheder og frihed”. Implementeringen af en administration af hændelser, der resulterer i opdagelse og rapportering af personlige data hændelser, gør det nemmere for de organisationer, der ønsker at tilpasse sig Persondataforordningen.

Asset Management

ISO 27001 kontrol A.8 (Asset Management) fører til inklusion af personlige data som informationsmæssige sikkerhedsaktiver og hjælper organisationer med at forstå, hvilke personlige data, der er involveret og hvor de skal lagres, hvor længe, hvor de udspringer fra og hvem, der har adgang, hvilket alt sammen kræves i Persondataforordningen.

Privacy by Design

Indførelsen af ”Privacy by Design”, som er et andet krav i Persondataforordningen, bliver obligatorisk i udviklingen af produkter og systemer. ISO 27001 kontrol A.14 (System acquisitions, development and maintenance) sikrer at “informationssikkerheden er en integreret del af informationssystemer på tværs af en hel livscyklus”.

Leverandørforhold

ISO 27001 kontrol A.15.1 (Information security in supplier relationships) kræver “beskyttelse af de aktiver i organisationen, som leverandører har adgang til”.  Ifølge Persondataforordningen delegerer organisationen leverandørernes behandling og lagring af personlige data; organisationen skal gennem formelle aftaler kræve, at kravene i forordningen overholdes.

 

Er ISO 27001 nok?

Udover indførelsen af tekniske kontroller, struktureret dokumentation, overvågning og løbende forbedringer, fremmer implementeringen af ISO 27001 en kultur og opmærksomhed over for sikkerhedsbegivenheder i organisationen. Medarbejderne i disse organisationer er mere opmærksomme og har mere viden og kan dermed bedre opdage og rapportere sikkerhedsbegivenheder. Informationssikkerhed drejer sig ikke kun om teknologi, det handler også om mennesker og processer.

ISO 27001 standarden er en fantastisk værktøj til at opnå compliance med Persondataforordningen. Hvis organisationen allerede har implementeret standarden, er den mindst halvvejs i gang med at sikre beskyttelsen af personlige data og minimere risikoen for et læk, hvor de økonomiske konsekvenser og den synlighed, det ville skabe, potentielt set kunne være en katastrofe for en organisation.

Det allerførste, en organisation bør gøre er at udføre en EU GDPR (Persondataforordningen) GAP analyse for at afgøre, hvad der skal mangler for at overholde kravene i Persondataforordningen. Derefter kan disse krav nemt tilføjes gennem det Information Security Management System, der allerede er opstillet af ISO 27001.

ISO/IEC 27018 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors) er også en del af ISO 27000 familien og det bør man kigge på hvis organisationen gemmer/behandler personlige data i skyen.

Som konklusion kan man sige, at næsten alle virksomheder, der arbejder internationalt, skal overholde denne lovgivning. Og da ISO 27001 er internationalt anerkendt og implementeret over hele verden, er det måske den bedste metode, hvis man hurtigt vil være klar til at overholde Persondataforordningen.

**Kilde: Oversat fra https://advisera.com/27001academy/blog/

 

 

 

 

Sådan strukturerer man dokumenterne til ISO 27001 Annex A kontroller

Forfatter: Dejan Kosutic***

Når du er færdig med din risikoanalyse og afhjælpning er det tid til at begynde på at skrive nogle dokumenter, der beskriver jeres sikkerhedskontroller ifølge ISO 27001 Annex A. Men hvilke dokumenter skal man skrive? Hvordan strukturerer man dem? Hvad for nogle skal man begynde med? Jeg synes, det er bedst at gøre følgende:

Sådan vælger du hvilke dokumenter der skal skrives

Ifølge ISO 27001 kan du ikke bare starte med at vælge kontroller og/eller skrive de dokumenter, du synes bedst om – pointen er, at udvælgelsen af kontroller skal være en direkte konsekvens af risikoanalyse- og –afhjælpningsprocessen.

Dernæst skal du vide, hvilke dokumenter, der er obligatoriske og hvilke, der ikke er – se listen her: List of mandatory documents required by ISO 27001 (2013 revision).

Endelig skal du – når du ved, hvilke kontroller, der skal tilføjes og hvilke dokumenter, der er obligatoriske – beslutte, hvor omfattende din dokumentation skal være:

  • Mindre virksomheder har ofte færre dokumenter:
    • De skal ikke dokumenterer alle kontroller og
    • De inkluderer flere kontroller i et enkelt dokument
  • Større virksomheder har normalt flere dokumenter og dokumenterne er mere detaljerede.

Det er imidlertid ikke de eneste kriterier, når man skal beslutte hvilke dokumenter, man skal skrive – se også: 8 criteria to decide which ISO 27001 policies and procedures to write.

 

Hvilke dokumenter bør dække hvilke kontroller?

Da Annex A har 114 kontroller, er sandheden, at det ikke er særligt nemt at beslutte hvordan man skal gruppere policies og procedurer for at dække dem (se også: Overview of ISO 27001:2013 Annex A).

Og det faktum, at ISO 27001 ikke foreskriver, hvilke kontroller, der skal allokeres til hvilke policies og/eller procedurer kan ved første øjekast synes at være et problem, men når du først opdager, at denne tilgang giver dig en stor frihed til at tilpasse dokumentationen til din virksomheds reelle behov, bliver du faktisk taknemmelig for, at ISO 27001 er så fleksibel.

 

Her er der igen to måder at gruppere dokumenter på:

  • Mindre virksomheder har normalt policies og/eller procedurer, der dækker flere kontroller med et enkelt dokument – fx bruger man:
    • Adgangskontrol policies til at dække alle de 14 kontroller fra afsnit A.9 (uden at nedskrive detaljerede procedurer)
    • BYOD (Bring Your Own Device) policies til at dække såvel A.6.2.1 (Mobile device policy) som A.6.2.2 (Teleworking) og A.13.2.1 (Information transfer policies and procedures)
    • Med en acceptabel brugs-policy kan man endda være endnu mere ambitiøs og dække kontroller fra forskellige afsnit af Annex A, da dette dokument kan fungere som en sikkerhedsmæssigt udgangspunkt for alle medarbejdere: A.6.2.1, A.6.2.2, A.8.1.2, A.8.1.3, A.8.1.4, A.9.3.1, A.11.2.5, A.11.2.6, A.11.2.8, A.11.2.9, A.12.2.1, A.12.3.1, A.12.5.1, A.12.6.2, A.13.2.3, and A.18.1.2.
  • Større virksomheder strukturerer normalt dokumentationen anderledes:
    • Hvert afsnit af Annex A dækkes af en policy – fx Organization of Information Security Policy (A.6), Human Resources Security Policy (A.7), Asset Management Policy (A.8), etc.
    • Hver policy har detaljerede procedurer og/eller arbejdsinstruktioner, der dækker enkelte kontroller –fx en procedure til informationsklassifikation (til kontrol A.8.2.1), en procedure til informationsmærkning (kontrol A.8.2.2), en procedure til informationshåndtering (kontrol A.8.2.3), etc.

 

Skriv dokumenterne i denne rækkefølge

Har du en idé om, hvordan du skal strukturere dokumenterne og hvor du skal begynde og ende?

I en mindre virksomhed kan du benytte et par kriterier til at beslutte, hvilke dokumenter, du skal begynde med:

  • Områder, hvor du kan få en hurtig succes. Det betyder, at du kan udvælge et område, hvor du ved, at du hurtigt kan få skrevet nogle dokumenter og på den måde vise din ledelse og dine kolleger (og dig selv) at du er i stand til at gøre dette job effektivt.
  • Områder, hvor de største risici ligger. På den måde starter du med at løse de største problemer først. Du bliver måske ikke hurtigt færdig men nogle gange er denne metode nødvendig, hvis din risikoanalyse har vist, at I har nogle meget store huller at udfylde.
  • Områder, der er kompatible med andre kørende projekter i din virksomhed. Hvis din virksomhed fx i øjeblikket er i gang med at implementere helpdesk software, kunne du starte med at skrive en incident management procedure, fordi den kan regulere hvordan den software bliver brugt i ISO 27001 konteksten.

 

Hvad angår dokumenter, der skal skrives til sidst kan jeg bedst lide, at det er dokumenter, der dækker en lang række kontroller (fx den såkaldte Acceptable Use Policy). På den måde ved man, hvilke kontroller, man har dækket i andre dokumenter og de kontroller, der ikke er beskrevet i andre policies og procedurer, kan man beskrive i et samlet dokument til allersidst.

Her har større virksomheder igen en anden tilgangsvinkel. De skriver deres policies først og de tilhørende procedurer/arbejdsinstruktioner bagefter. M.h.t. beslutningen om, hvilke policies de skal starte med, kan de bruge de samme kriterier som er beskrevet ovenfor.

Så som konklusion kan man sige, at du skal benytte dig at den fleksibilitet, ISO 27001 giver dig til at tilpasse dokumentationen til jeres specifikke behov – for idéen er, at det skal være dokumentationen, der er til for dig, ikke omvendt.

***Kilde: https://advisera.com/27001academy/blog/

 

Se flere nyheder i vores NYHEDSARKIV.