IT Sikkerhedsledelse iht. ISO/IEC 27001

Overblik over aktiviteter før certificering af IT sikkerhed

INPUT

 

PROCESSER

 

LEVERANCER

Virksomhed beslutter at implementere ISO 27001

Ledelsens engagement, tildeling af projektansvar

Definér og informer sikkerhedspolitik

Udsend politiske dokumenter

Definér omfang af informations-sikkerheds ledelsessystem

Udsend dokumenter for sikkerhedsledelse

Identificer vigtige trusler, risici, konsekvenser og sårbarheder

Udfør risikovurdering for omfang af informationssikkerheds ledelsessystem

Udsend dokumenter for risikovurdering

Virksomhedens strategi til risikostyring

Beslut hvordan identificerede risici håndteres

Fastlæg og dokumenter arbejds- og ansvarsområder

Vejledning/styring jf. kontroller fra ISO 17799 + øvrige der ikke er angivet

Udvælg mål og kontroller der skal udføres

Forbered SoA.

Har vi den rette software?

(Service organiseret Arkitektur)

Gennemfør kontrol

Bliv klar til og gennemgå certificering

Træffe korrigerende foranstaltninger

 

YES

 

Godkendt?

Certifikat tildeles

NO

ISO 9001     PLAN – DO – CHECK – ACT                           KVALITETSLEDELSE

ISO 27001  PLAN – ASSESS – HANDLE – MONITOR         SIKKERHEDSLEDELSE

En kontinuerlig låst proces

Planlæg: Hvad – Hvornår – Hvordan

Vurder: Identificér og analyser

Håndter: Minimer risikoen

Overvåg/rapporter: Vide hvad der sker og dokumentere

Informations security management

Rammer for et IT sikkerhedsledelsessystem: Processen starter, når organisationen træffer beslutning om at gå i gang med øvelser om sikkerhedsledelse. Det er indlysende at, det på dette tidspunkt, er særdeles vigtigt at sikre ledelsens engagement og derefter tildele ansvaret for selve projektet. Et organisatorisk topniveau politik kan derefter blive udviklet og udgivet. Dette kan og vil normalt blive understøttet af underordnede politikker.

Den næste fase er særlig kritisk: Omfanget, der definerer hvilken del(e) af organisationen der vil være omfattet af IT Sikkerheds ledelses-systemet. Typisk vil definering af placering, aktiver og teknologi skulle indgå.

På dette stadium vil der blive foretaget en risikovurdering for at bestemme organisationens risikoprofil/ eksponering og den bedste vej til at løse dette identificeres. Dette dokument vil være grundlag for den næste fase, som er forvaltning af disse risici. En del af processen er udvælgelse af egnede kontrolforanstaltninger med hensyn til de i standarden (ISO27002) angivne og med begrundelsen for hver enkelt beslutning. Dette dokumenteres i form af en erklæring om Gyldighedsområde (SOA).

Kontrolforanstaltningerne bør derefter implementere hvor de er relevante. Herefter kan certificeringsprocessen indledes via et passende akkrediteret tredjeparts certificeringsorgan.

EN KONTINUERLIG LÅST PROCES – IKKE EN HÆNDELSE