Standarder för informationssäkerhet - en översikt

INNEHÅLL

• Standarder för informationssäkerhet - en översiktlig lista
• Certifiering är en konkurrensfördel
• Tio ISO-standarder för informationssäkerhet som du bör känna till
• Andra ämnen i ISO 2700x-standarderna
• DQS - Vad vi kan göra för dig

Standarder för informationssäkerhet: ISO 2700X-standarderna

De enskilda standarderna för informationssäkerhet i ISO 2700x-serien behandlar olika ämnen inom området informationssäkerhet. Den internationella standarden specificerar till exempel följande ISO 27001 Ett ledningssystem för informationssäkerhet (ISMS), ISO 27701 ett ledningssystem för dataskydd, ISO 27017 ger vägledning om informationssäkerhetsåtgärder för molntjänster och ISO 27005 ger riktlinjer för riskhantering för informationssäkerhet.

Företag i alla branscher kan dra nytta av det systematiskt strukturerade tillvägagångssättet i dessa standarder för informationssäkerhet. Den gör det möjligt att skydda konfidentiella uppgifter mot förlust och missbruk och bidrar till att identifiera och minska (potentiella) hot på ett tillförlitligt sätt. Metoden bidrar till att säkerställa tillgängligheten hos företagets IT-system och bidrar därmed till optimering av affärsprocesser, IT- och processkostnader samt minimering av affärs- och ansvarsrisker.

Certifiering är en konkurrensfördel

Certifiering enligt ISO 27001, till exempel av DQS, kräver en viss mängd förberedelser och ansträngningar. Företaget ger dock ett dokumenterat bevis på att det uppfyller kraven på informationssäkerhet och genomför åtgärder för att skydda känsliga företagsdata. Detta är en klar konkurrensfördel.

Tio ISO-standarder om informationssäkerhet som du bör känna till

Listan nedan ger en informativ översikt över den aktuella statusen för ISO 2700x-serien av standarder inom informationssäkerhet. Alla standarder kan köpas från ISO:s webbplats.

ISO 27001 - Krav på ledningssystem för informationssäkerhet

I tider då data och information handlas som sällsynta varor är det viktigt att skydda dem. En optimal grund för ett effektivt genomförande av en holistisk säkerhetsstrategi utgörs av ett välstrukturerat ledningssystem för informationssäkerhet (ISMS) i enlighet med standarden ISO 27001. Detta är en internationellt erkänd standard för informationssäkerhet i privata, offentliga eller ideella organisationer, som inte bara omfattar IT-säkerhetsaspekter.

Ett ISO 27001 ISMS definierar krav, regler och metoder för att säkerställa säkerheten för information som kräver skydd i organisationer. ISO-standarden tillhandahåller en modell för att fastställa, genomföra, övervaka och förbättra skyddsnivån. Målet är att identifiera potentiella risker för företaget, analysera dem och göra dem kontrollerbara genom lämpliga åtgärder. ISO 27001 formulerar kraven för ett sådant ledningssystem, som granskas som en del av en extern certifieringsprocess .

Du kan uppnå detta med hjälp av standarden:

• Att göra säkerheten för känslig information till en integrerad del av företagets processer.
• Förebyggande skydd av skyddsmålen konfidentialitet, tillgänglighet och integritet för information.
• Upprätthållande av verksamhetens kontinuitet genom kontinuerlig förbättring av säkerhetsnivån.
• Sensibilisering av de anställda och väsentligt ökad säkerhetsmedvetenhet på alla nivåer i företaget.
• Uppbyggnad av förtroende hos berörda parter.
• Inrättande av en effektiv riskhanteringsprocess.

ISO 27019 - Informationssäkerhetsåtgärder för energiförsörjning.

ISO 27019-standarden för informationssäkerhet formulerar kompletterande åtgärder för energibranschen.

Den hjälper dig att säkra dina elektroniska processkontrollsystem som används för att styra och övervaka produktion, överföring, lagring och distribution av elektrisk energi, gas, olja och värme samt för att styra relaterade stödprocesser.

Vad du kan göra med standarden:

• Systematiskt säkerställa skyddsmålen konfidentialitet, tillgänglighet och integritet för information.
• Kontinuerligt förbättra säkerhetsnivån och motståndskraften mot obehörig åtkomst.
• Uppnå större handlingsskydd och rättssäkerhet, förbättra efterlevnaden av relevanta krav på efterlevnad.
• Öka säkerhetsmedvetenheten bland anställda och chefer.
• Uppnå en hög nivå av förtroende och lojalitet bland alla berörda parter.
• Visa upp erkända bevis på effektiviteten av dina säkerhetsåtgärder för myndigheterna, t.ex. den tyska federala nätmyndigheten (BNetzA).

ISO 27006 - Krav på certifieringsorgan

ISO 27006 riktar sig till organ som DQS som utför certifieringar av ledningssystem för informationssäkerhet. Ackrediteringsstandarden ISO 27006 beskriver de krav som certifieringsorganen måste följa när de bedömer sina kunders ledningssystem enligt ISO 27001 för certifiering.

Detta inkluderar t.ex. bevis för specificerade revisionsinsatser eller specifikationer om revisorernas kvalifikationer. De ackrediteringsprocesser som beskrivs i standarden garanterar att ISO 27001-certifikat som utfärdas av ackrediterade certifieringsorgan har internationell giltighet.

Vad du kan uppnå med denna standard:

• Enhetliga kriterier för förfaranden för certifiering, övervakning och omcertifiering.
• Säkerställa ISO 27001-certifikatens giltighet.
• Säkerställa minimikrav för revisionsinsatser och kvalifikationer för personal som beräknar och utför certifieringsförfaranden.

ISO 27002 - Vägledning om kontroller av informationssäkerhet

Information Security Management System (ISMS) enligt ISO 27001 innehåller en normativ bilaga A: Reference measure objectives and controls.

Denna bilaga innehåller specifika åtgärder som ska genomföras som en del av ledningssystemet, i enlighet med vad som är relevant för organisationen. ISO 27002 är en vägledning med rekommendationer för genomförandet av åtgärder från ISO 27001.

Du kan göra detta med hjälp av standarden:

• Stöd för genomförandet av ISO 27001
• Genomföra rekommendationerna för åtgärderna i bilaga A till ISO 27001.

ISO 27000 - Översikt och vokabulär för ledningssystem för informationssäkerhet

ISO 27000 innehåller termer och definitioner som används i ISO 2700X-serien av standarder. ISO 27000 ger en översikt över ledningssystem för informationssäkerhet och ISO 2700x-serien av standarder med deras informationssäkerhetsstandarder.

I en ordlista definieras (tekniska) termer explicit och formellt.

Vad du kan göra med den här standarden:

• Ordlista: Täckning av de flesta tekniska termer som används i ISO2700x-serien av standarder inom området informationssäkerhet.
• Klarhet om terminologi
• Tydlig förståelse av vokabuläret bland bedömare och bedömare ("ett gemensamt språk").
• Översikt över ledningssystem för informationssäkerhet: Introduktion av informationssäkerhet, risk- och säkerhetshantering samt ledningssystem.

ISO 27701 - Vägledning om hantering av dataskydd.

Standarden för informationssäkerhet som särskilt rör dataskydd. ISO 27701 specificerar ett ledningssystem för dataskydd baserat på ISO 27001, ISO 27002 (informationssäkerhetskontroller) och ISO 29100 (ramverk för dataskydd) för att på lämpligt sätt hantera både behandling av personuppgifter och informationssäkerhet. Detta gäller både registeransvariga och registerförare av personuppgifter.

Hur du kan lyckas med den här standarden:

• Bättre hantering av personuppgifter och informationssäkerhet
• Enklare tillämpning av gemensamma principer för hantering av informationsrisker på personuppgifter.
• Anpassa och utvidga kontrollerna i ISO 27001 och den relaterade ISO 27002.

ISO 27017 - Vägledning för informationssäkerhetsåtgärder i molntjänster

ISO 27017-standarden ger vägledning om informationssäkerhetsåtgärder i molntjänster inom standarderna för informationssäkerhet.

Den rekommenderar, stöder och tillhandahåller ytterligare åtgärder för att genomföra molnspecifika informationssäkerhetskontroller.

Vad du kan uppnå med den här standarden:

• Förstå informationssäkerhetsaspekterna av molntjänster.
• Utforma och implementera molnspecifika informationssäkerhetskontroller.
• Kontroll över alternativen för att välja, implementera och hantera informationssäkerhet för molntjänster.

ISO 27018 - Vägledning om dataskydd i molntjänster.

ISO 27018-standarden ger vägledning för att säkerställa att leverantörer av molntjänster erbjuder lämpliga informationssäkerhetskontroller för att skydda kundernas integritet genom att säkra de personuppgifter som anförtros dem.

Denna standard följs av ISO 27017 (Information security measures in cloud services), som täcker andra informationssäkerhetsaspekter av molntjänster än bara dataskydd.

Här är vad du kan göra med standarden:

• Välj kontroller för skydd av PII som en del av implementeringen av ett ledningssystem för informationssäkerhet för molntjänster baserat på ISO 27001.
• Implementera allmänt accepterade kontroller för skydd av PII.
• Fördjupa dina kunskaper eftersom standarden är baserad på ISO 27002 och utökar dess allmänna råd på vissa områden.
• Koppling av OECD:s principer för skydd av privatlivet som ingår i flera lagar och förordningar om dataskydd.

ISO 27005 - Vägledning om riskhantering för informationssäkerhet.

ISO 27005-standarden ger vägledning om riskhantering för informationssäkerhet och stöder de allmänna begrepp om detta som anges i ISO 27001.

ISO 27005 är också avsedd att stödja genomförandet av informationssäkerhet baserat på ett koncept för riskhantering.

Detta kan du göra med hjälp av standarden:

• Implementera informationssäkerhet baserat på ett riskhanteringskoncept.
• Definition av riskhanteringssammanhanget
• Kvantitativ eller kvalitativ bedömning (dvs. identifiering, analys och utvärdering) av relevanta informationsrisker.
• Kontinuerlig övervakning och översyn av risker, riskbehandlingar, krav och kriterier.
• Lämplig hantering av risker.
• Kontinuerlig kommunikation med alla berörda parter.

ISO 27007 - Vägledning för revision av ISMS

ISO 27007 är en guide för att genomföra revisioner och är avsedd för interna och externa revisorer som bedömer ett ISMS enligt ISO/IEC 27001.

Vägledningen bygger till stor del på Guide to auditing management systems (ISO 19011) och ger ytterligare vägledning för ett ledningssystem för informationssäkerhet (ISMS).

Så här kan du lyckas med standarden:

• Vägledning specifikt för ISO 27001 ISMS-revisioner.
• Vägledning för planering och genomförande av revisioner som är integrerad från ISO 19011.
• Viktig information om kompetensen hos ISMS-revisorer.
• Förståelse och genomförande av ISMS-revisioner

DQS - vad vi kan göra för dig

DQS har varit en ledande specialist på certifiering av ledningssystem och processer sedan 1985. Sedan dess har DQS historia varit nära kopplad till ISO 9001:s historia. Vi tar med oss vårt världsomspännande kunnande och vår omfattande förståelse för standarder till våra kunder under cirka 30 000 revisionsdagar per år. Så att du kan se vilka alternativ du har.

Förtroende och expertis

Våra texter och vitböcker skrivs uteslutande av våra standardexperter eller långvariga revisorer. Så även översikten över standarder för informationssäkerhet. Om du har några frågor om textens innehåll eller våra tjänster till vår författare är du välkommen att kontakta oss.

Standarder för informationssäkerhet: Andra ämnen i ISO 2700X-standardens familj av standarder.

ISO 27003 - Vägledning för utveckling och genomförande av ett ISMS

ISO/IEC 27003:2017

Informationsteknik - Säkerhetsteknik - Ledningssystem för informationssäkerhet - Vägledning.

ISO 27004 - Vägledning om mätmetoder för ledning av informationssäkerhet

ISO/IEC 27004:2016

Informationsteknik - Säkerhetsteknik - Informationssäkerhetshantering - Övervakning, mätning, analys och utvärdering.

ISO 27008 - Vägledning för utvärdering av åtgärder för informationssäkerhet.

ISO/IEC TS 27008:2019

Informationsteknik - Säkerhetsteknik - Riktlinjer för bedömning av informationssäkerhetskontroller.

ISO 27009 - Vägledning för sektorspecifik tillämpning av ett informationshanteringssystem

ISO/IEC 27009:2020

Informationssäkerhet, cybersäkerhet och integritetsskydd - Sektorspecifik tillämpning av ISO/IEC 27001 - Krav

ISO 27010 - Vägledning för hantering av informationssäkerhet för kommunikation mellan sektorer och organisationer

ISO/IEC 27010:2015

Informationsteknologi - Säkerhetsteknik - Informationssäkerhetshantering för kommunikation mellan sektorer och mellan organisationer

ISO 27011 - Vägledning för hantering av informationssäkerhet inom telekommunikationssektorn

ISO/IEC 27011:2016

Informationsteknologi - Säkerhetsteknik - Praxis för kontroll av informationssäkerhet baserad på ISO/IEC 27002 för telekommunikationsorganisationer

ISO 27013 - Vägledning för integrerat genomförande av ett ISMS och IT-tjänstestyrning

ISO/IEC 27013:2021

Informationssäkerhet, cybersäkerhet och integritetsskydd - Vägledning för integrerat genomförande av ISO/IEC 27001 och ISO/IEC 20000-1

ISO 27014 - Styrning av informationssäkerhet

ISO/IEC DIS 27014:2020

Informationssäkerhet, cybersäkerhet och integritetsskydd - Styrning av informationssäkerhet

ISO 27016 - Ekonomi för hantering av informationssäkerhet

ISO/IEC TR 27016:2014

Informationsteknologi - Säkerhetsteknik - Informationssäkerhetshantering - Organisationsekonomi

ISO 27021 - Kompetenskrav för yrkesverksamma inom ISMS

ISO/IEC 27021:2017/AMD 1:2021

Teknik - Kompetenskrav för yrkesverksamma inom ledningssystem för informationssäkerhet - Ändring 1: Tillägg av ISO/IEC 27001:2013 klausuler eller underklausuler till kompetenskrav

ISO 27031 - Vägledning om kontinuitet i verksamheten

ISO/IEC 27031:2011

Informationsteknologi - Säkerhetsteknik - Riktlinjer för informations- och kommunikationsteknologins beredskap för affärskontinuitet

TIPS: Läs vårt blogginlägg om hantering av affärskontinuitet för att lära dig vad ISO 22301-standarden rekommenderar för att säkerställa ett företags fortsatta existens i exceptionella situationer.

ISO 27032 - Guide för cybersäkerhet

ISO/IEC 27032:2012

Informationsteknik - Säkerhetsteknik - Riktlinjer för cybersäkerhet

ISO 27033 - Vägledning för nätverkssäkerhet

ISO/IEC 27033

Informationsteknologi - Säkerhetsteknik - Nätverkssäkerhet
Del 1: Översikt och begrepp, Del 2: Riktlinjer för utformning och genomförande av nätverkssäkerhet, Del 3: Referensnätverksscenarier - hot, utformningsteknik och kontrollfrågor, Del 4: Säkerställande av kommunikation mellan nätverk med hjälp av säkerhetsgateways, Del 5: Säkerställande av kommunikation mellan nätverk med hjälp av virtuella privata nätverk (VPN), Del 6: Säkerställande av trådlös IP-nätverksåtkomst

ISO 27034 - Vägledning om säkerhet för tillämpningar

ISO/IEC 27034

Informationsteknik - Säkerhetsteknik - Applikationssäkerhet
Del 1: Översikt och begrepp, Del 2: Normerande ram för organisationen, Del 3: Process för hantering av applikationssäkerhet, Del 4: Validering och verifiering, Del 5: Protokoll och datastruktur för kontroll av applikationssäkerhet, Del 6: Caststudier, Del 7: Ram för förutsägelse av säkerhet.

ISO 27035 - Vägledning för incidenthantering av informationssäkerhetsincidenter

ISO/IEC 27035

Informationsteknik - IT-säkerhetsrutiner - Hantering av incidenter inom informationssäkerheten
Del 1: Grunderna för incidenthantering, Del 2: Riktlinjer för planering och förberedelse av incidenthantering, Del 3: Riktlinjer för incidenthantering inom informations- och kommunikationsteknik (utkast)

ISO 27036 - Vägledning om leverantörsrelationer

ISO/IEC 27036

Informationsteknik - Säkerhetsteknik - Informationssäkerhet för leverantörsrelationer
Del 1: Översikt och begrepp, Del 2: Krav, Del 3: Riktlinjer för säkerhet i leverantörskedjan för informations- och kommunikationsteknik, Del 4: Riktlinjer för säkerhet i molntjänster

ISO 27037 - Riktlinjer för hantering av digitala bevis.

ISO/IEC 27037:2012

Informationsteknik - Säkerhetsteknik - Riktlinjer för identifiering, insamling, förvärv och bevarande av digitala bevis.

ISO 27038 - Specifikation för digital redigering

ISO/IEC 27038:2014

Informationsteknik - Säkerhetsteknik - Specifikation för digital redigering

ISO 27039 - Vägledning om system för upptäckt av intrång (IDPS)

ISO/IEC 27039:2015

Informationsteknologi - Säkerhetsteknik - Val, installation och drift av system för upptäckt och förhindrande av intrång (IDPS)

ISO 27040 - Vägledning om lagringssäkerhet

ISO/IEC 27040:2015

Informationsteknik - Säkerhetsteknik - Lagersäkerhet

ISO 27041 - Vägledning om metoder för utredning av incidenter

ISO/IEC 27041:2015

Informationsteknik - Säkerhetsteknik - Vägledning för att säkerställa lämplighet och tillräcklighet av incidentutredningsmetoder

ISO 27042 - Vägledning för analys och tolkning av digitala bevis.

ISO/IEC 27042:2015

Informationsteknik - Säkerhetsteknik - Riktlinjer för analys och tolkning av digitala bevis.

ISO 27043 - Vägledning för utredningsmetoder vid incidenter.

ISO/IEC 27043:2015

Informationsteknik - Säkerhetsteknik - Principer och processer för incidentutredningar.

ISO 27050 - Vägledning för elektronisk upptäckt

ISO/IEC 27050

Informationsteknik - Elektronisk upptäckt
Del 1: Översikt och begrepp, Del 2: Vägledning för styrning och hantering av elektronisk upptäckt, Del 3: Praxisregler för elektronisk upptäckt

ISO 27102 - Vägledning om cyberförsäkring

ISO/IEC 27102:2019

Ledning av informationssäkerhet - Riktlinjer för cyberförsäkring

ISO 27103 - Guide till cybersäkerhet och ISO/IEC-standarder

ISO/IEC TR 27103:2018

Informationsteknik - Säkerhetsteknik - Cybersäkerhet och ISO- och IEC-standarder

ISO 27550 - Integritetsteknik för systemlivscykelprocesser

ISO/IEC TR 27550:2019-09

Informationsteknologi - Säkerhetsteknik - Sekretessutveckling för systemlivscykelprocesser

ISO 27799 - Hantering av informationssäkerhet inom hälso- och sjukvården

ISO 27799:2016

Hälsoinformatik - Informationssäkerhetshantering inom hälso- och sjukvården med hjälp av ISO/IEC 27002