iso/ iec 27001 for små og mellemstore...

Arbejder du i en lille eller mellemstor virksom-hed, og vil I gerne beskytte jeres værdifulde og følsomme forretningsinformationer – om så jeres aktiver er i form af medarbejdere, processer eller informationsteknologisystemer? I denne bog kan du trin for trin implementere et ISMS system baseret på ISO/IEC 27001, så du kan håndtere forretningsinformationer og gøre din virksomhed konkurrencedygtig i de globa-liserede markeder, samtidig med, at dine infor-mationer forbliver beskyttede. Bogen beskriver de processer, som gør det muligt for en virksomhed at etablere, implemen-tere, evaluere og overvåge, styre og vedlige-holde et effektivt ISMS.

Bogen er baseret på ISO/IEC 27001:2005 Infor-mation technology – Security techniques – Information security management systems – Requirements.

ISO / IEC 27001 for små og mellemstore virksomheder– praktiske råd

DS-håndbog 170:2012

541 - 643 TRYKSAG

9 788773 107294

ISO

/IEC

270

01

for sm

å og

melle

msto

re virkso

mh

ed

er – prak

tiske rå

d

ISO/IEC 27001 for små og mellemstore virksomhederPraktiske råd

DS-håndbog 170

2

ISO/IEC 27001 for små og mellemstore virksomheder

Praktiske råd

© DANSK STANDARD 2012

Projektnummer M261496

DS-håndbog 170:2012

Redaktør: Jenni Søndergaard

Grafisk tilrettelæggelse: Dansk Standard

Omslag: Dansk Standard

Tryk: Dansk Standard

Udgivet 2012

1. udgave, 1. oplag

ISBN 978-87-7310-729-4 (trykt udgave)

ISBN 978-87-7310-730-0 (elektronisk udgave)

Udgivet af Fonden Dansk Standard

Kollegievej 6

2920 Charlottenlund

Telefon: 39 96 61 01

Telefax: 39 96 61 02

[email protected]

www.ds.dk

Dette er en POD-publikation

Trykt i Danmark

ISO/IEC 27001 fOr Små Og mEllEmStOrE vIrkSOmhEdEr 3

ISO – den internationale standardise-ringsorganisation

ISO’s medlemmer tæller omkring 160 nationale standardiseringsorganer fra både små og store lande — både industri- , udviklings- og overgangs-lande — over hele verden. ISO’s portefølje på mere end 18 100 standarder forsyner erhvervsliv, regeringer og samfund med praktiske værktøjer til alle tre dimensioner inden for bæredygtig udvikling: økonomi, miljø og samfund.

ISO-standarder bidrager positivt til den verden, vi lever i. Standarder fremmer handel, udbreder viden, formidler innovative teknologiske tiltag og videregiver gode ledelsesværktøjer og evalueringsmetoder.

ISO-standarder leverer løsninger, som indebærer fordele for næsten alle sektorer, herunder landbrug, byggeri, maskinteknik, produktion, distribu-tion, transport, medicinsk udstyr, informations- og kommunikationstek-nologier, miljø, energi, kvalitetsledelse og serviceydelser.

ISO udarbejder kun standarder, som markedet klart efterspørger. Arbej-det udføres af eksperter på det pågældende område. De er repræsentan-ter fra industri-, fag- og erhvervssektorer, der har peget på behovet for standarden, og som efterfølgende bruger den i praksis. Disse eksperter kan suppleres af andre med relevant viden, fx repræsentanter for myn-digheder, prøvningslaboratorier, forbrugersammenslutninger og den akademiske verden samt internationale statslige og ikke-statslige orga-nisationer (ngo’er).

En international ISO-standard repræsenterer global konsensus om viden inden for et bestemt emne eller område, hvad enten det afspejler den nyeste udvikling på det pågældende område eller det, der er god praksis.

4

IEC – den internationale elektrotekniske kommission

IEC, som blev etableret i 1906, er verdens førende organisation med hensyn til udarbejdelse og udgivelse af internationale standarder inden for alle elektriske, elektroniske og lignende teknologier, som går under fællesbetegnelsen “elektroteknologi”. I dag er 162 lande en del af IEC-familien: 81 er medlemmer, og 81 udviklingslande deltager i IEC Affiliate Country Programme.

Alle IEC’s internationale standarder er baseret på fuld konsensus og re-præsenterer de behov, som nøgleinteressenter i alle lande, der deltager i IEC’s arbejde, har. De muliggør global handel og sikrer teknologiover-førsel.

• Over 10 000 eksperter i 174 tekniske komiteer med mere end 1 000 arbejdsgrupper

• Over 6 000 internationale standarder i IEC‘s katalog i dag

• Over 500 000 certifikater til overensstemmelsesvurdering er udstedt.

IEC-standarder dækker en lang række teknologier lige fra kraftgenere-ring, kraftoverføring og distribution til husholdningsapparater og kon-torudstyr, halvledere, fiberoptik, batterier, solenergi, nanoteknologi og havenergi.

Hvor end man finder elektricitet og elektronik, ligger IEC bag og tager hånd om sikkerhed og ydeevne, miljøet, energieffektivitet og vedvarende energi.

IEC administrerer også tre globale systemer vedrørende overensstem-melsesvurdering, IECEE, IECEx og IECQ til prøvning, certificering og god-kendelse af udstyr, systemer og komponenter i henhold til egne interna-tionale standarder.

IEC giver erhvervslivet og regeringer en platform, hvor de kan mødes, diskutere og udarbejde de standarder, de har brug for.


Forord

Ejere af og direktører i mindre virksomheder er hårdtarbejdende og me-get fokuserede på deres virksomheders overlevelse, og en international standard som ISO/IEC 27001 vedrørende ledelsessystemer for informa-tionssikkerhed (ISMS) kan synes at ligge langt fra deres praktiske be-kymringer. Imidlertid vil mange af dem erkende sandheden i den gamle talemåde ”viden er magt”, som findes tilsvarende på mange sprog og i mange kulturer.

Den tilsvarende talemåde for virksomheder i dag ville understrege, at in-formation i alle afskygninger er et magtfuldt redskab til opnåelse af suc-ces i en virksomhed, og det gælder både små/mellemstore virksomheder og store virksomheder i den private såvel som i den offentlige sektor.

Information kan vedrøre en virksomheds produkter, processer eller mar-keder. Det kan dreje sig om følsom information om virksomhedens kun-der, leverandører og andre interessenter. Den kan opbevares i papirform, men er i stigende grad digital.

Hvis information er magt, så kan manglende evne til at beskytte den gøre virksomheden magtesløs som følge af ødelagt omdømme, hvilket kan resultere i stigende økonomiske tab og spolere driften fuldstændigt. Et eksempel, som flere små eller mellemstore virksomheder sikkert kan forholde sig til, er indbrud i deres internetbaserede ordresystem, hvor kunderne anvender kreditkort til betaling. ISO/IEC 27001:2005 kan hjælpe virksomheder med at forebygge sådanne skader.

Information er et aktiv, der lige som andre vigtige aktiver i virksomheden tilfører værdi, og derfor skal beskyttes. Informationssikkerhed beskytter information mod en lang række trusler med henblik på at sikre forret-ningskontinuitet, minimere skade på virksomheden og maksimere inve-steringsafkastet og de forretningsmæssige muligheder. Et ISMS er en systematisk tilgang til at håndtere følsomme forretningsinformationer, så de forbliver beskyttede. Det omfatter medarbejdere, processer og infor-mationsteknologisystemer.

6

ISO/IEC 27001 beskriver processerne, som gør det muligt for en virksom-hed at etablere, implementere, evaluere og overvåge, styre og vedlige-holde et effektivt ISMS. Implementeringen heraf vil forsikre kunder og leverandører om, at den virksomhed, de handler med, tager informati-onssikkerhed alvorligt, fordi virksomheden har etableret de nyeste pro-cesser til håndtering af informationssikkerhedstrusler og -problemer.

Denne håndbog fjerner mystikken omkring informationssikkerhed og indeholder en praktisk og let forståelig trinvis metode for små og mel-lemstore virksomheder til implementering af et ISMS baseret på ISO/IEC 27001.

Den engelske standard ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems – Requirements er oversat til dansk som DS/ISO/IEC 27001:2007, Infor-mationsteknologi – Sikkerhedsteknikker – Ledelsessystemer for Informa-tionssikkerhed (ISMS) – Krav. Denne bog er en bearbejdet oversættelse af ISO/IEC 27001 for small businesses – practical advice.

Internationale standarder udviklet af ISO og IEC har bidraget væsentligt til udviklingen så som elektrisk ledningsnet, informations- og kommuni-kationsteknologinetværk (IKT) og globale forsyningskæder, som har åb-net op for flere muligheder for små og mellemstore virksomheder. Især IKT-standardisering gør det muligt for mindre virksomheder at nå langt ud over deres fysiske placering i deres søgen efter nye markeder. Med Internettets imponerende vækst kan en hvilken som helst virksomhed uanset størrelse nu let have et butiksvindue ud til verden.

Et ledelsessystem for informationssikkerhed baseret på ISO/IEC 27001:2005 kan gøre den mindre virksomhed i stand til at konkurrere ef-fektivt i de globaliserede markeder i dag. Denne håndbog er nøglen, der åbner døren til disse muligheder.

Rob Steele, Ronnie Amit, generalsekretær for ISO generalsekretær for IEC


Indholdsfortegnelse

ISO – den internationale standardiseringsorganisation ..................... 3

IEC – den internationale elektrotekniske kommission ........................ 4

Forord ........................................................................................................ 5

Indledning ................................................................................................. 13

1 Informationssikkerhed ...................................................................... 15

1.1 Forstår jeres virksomhed informationssikkerhed og informationssikkerhedsledelse? .............................................. 15

1.2 Forstår jeres organisation vigtigheden af foranstaltninger til at styre informationssikkerhedsrisici i den forretnings- mæssige drift og it-systemerne? ............................................ 17

1.3 Har jeres virksomhed et ledelsessystem vedrørende informationssikkerhed (ISMS)? ....................................................... 18

1.4 Har jeres virksomhed en risikobaseret tilgang til ISMS? ...... 18

1.5 Ved I, hvorfor nogle virksomheder kræver, at deres samar-bejdspartnere har implementeret et ISMS baseret på ISO/IEC 27001? .......................................................................... 20

1.6 Ved I, som en lille eller mellemstor virksomhed, hvordan I etablerer et ISMS, som opfylder kravene i ISO/IEC 27001? .. 20

2 Anvendelsesområde for ledelses-systemet for informationssikkerhed ............................................................................................ 24

2.1 Har I planlagt og implementeret et ISMS, og anvender, vedligeholder og opdaterer I systemet? ................................. 24

2.2 Er informations- og forretningsprocesser, ydelser, udstyr, medarbejdere og fysiske steder identificeret

tydeligt i ISMS? ........................................................................ 25

8

2.3 Har jeres virksomhed identificeret alle de juridiske og lovgivningsmæssige krav i relation til ISMS? ........................ 26

2.4 Har I identificeret jeres virksomheds, samarbejdspartneres og kunders krav til informationssikkerhed samt andre krav i relation til ISMS?............................................................. 27

2.5 Er jeres ISMS blevet vurderet af interessenter, og er de enige i de specifikke informationssikkerhedskrav? ............... 28

3 Dokumentationskrav ......................................................................... 30

3.1 Har jeres virksomhed dokumenteret sit ISMS? ..................... 30

3.2 Har jeres virksomhed alle de dokumenter, der kræves for at udvikle, implementere og vedligeholde sit ISMS effektivt? .. 31

3.3 Versionsstyrer jeres virksomhed sine dokumenter? ............. 31

3.4 Har jeres virksomhed dokumenterede procedurer i relation til ISMS-registreringer? ............................................................ 32

3.5 Har jeres virksomhed et elektronisk dokumentations- styringssystem? ........................................................................ 33

4 Ledelsens ansvar ............................................................................... 34

4.1 Er jeres ledelse opmærksom på sit informations- sikkerhedsansvar? ..................................................................... 34

4.2 Har jeres ledelse forpligtet sig i udviklingen, implementeringen og den løbende forbedring af ISMS? .......................... 34

4.3 Har jeres ledelse defineret, dokumenteret og kommunikeret en ISMS-politik? ........................................................................ 35

4.4 Er alle medarbejdere bevidste om deres informationssikker-hedsansvar? ............................................................................... 35

4.5 Har jeres ledelse etableret specifikke roller og ansvars- områder for informationssikkerhed? ...................................... 36

4.6 Har jeres ledelse afsat tilstrækkelige ressourcer til udvikling, implementering og løbende forbedring af ISMS? ................. 37

4.7 Har jeres ledelse sikret, at de, som har fået tildelt sikkerheds-ansvar, har den nødvendige kompetence, uddannelse samt ansvarlighed? ............................................................................ 37

4.8 Har medarbejdere med særlige sikkerhedsrelaterede opgaver fået den nødvendige uddannelse/oplæring? .......... 38


4.9 Hvis jeres ledelse har besluttet at bruge eksterne konsu- lenter, har den så defineret, hvilke kvalifikationer, kompe- tencer og ansvar der er nødvendige? ........................................ 39

5 ISMS-politik ........................................................................................ 40

5.1 Har jeres virksomhed udarbejdet en ISMS-politik, som passer til jeres forretning – fx den måde, den er organise- ret og drives, dens aktiver og den teknologi, den anvender? 40

5.2 Har jeres virksomhed offentliggjort og kommunikeret sin ISMS-politik? ............................................................................. 41

5.3 Evaluerer jeres virksomhed sin ISMS-politik med planlagte mellemrum, eller hvis der sker væsentlige ændringer med henblik på at sikre, at den fortsat er hensigtsmæssig, til-

strækkelig og effektiv? ............................................................. 41

6 Risikostyring af informationssikkerhed ............................................................................................ 44

6.1 Forstår jeres virksomhed risikostyring af informationssikkerhed? ....................................................................................... 44

6.2 Har jeres virksomhed defineret sin risikovurderingsmetode? 44

6.3 Har jeres virksomhed et forud defineret sæt risikometrikker til at understøtte jeres risikovurderingsmetode? .................. 46

6.4 Har jeres virksomhed en liste over aktiver, og har den defineret en værdi for alle sine kritiske aktiver? .................... 48

6.5 Har jeres virksomhed identificeret alle forretningsmæssige trusler og sårbarheder? ............................................................ 52

6.6 Har jeres virksomhed vurderet, hvilke konsekvenser den kan blive udsat for? ................................................................... 54

6.7 Har jeres virksomhed vurderet risikoniveauet? ..................... 57

6.8 Har jeres virksomhed udarbejdet en risikoliste?.................... 60

7 Risikohåndtering og valg af kontrolforanstaltninger .................... 61

7.1 Har jeres virksomhed besluttet, hvilke løsningsmodeller den vil bruge for de risici, den har identificeret? .......................... 61

7.2 Har jeres virksomhed en beslutningsproces for risikohånd-tering? ........................................................................................ 63

10

7.3 Har jeres virksomhed vurderet omkostninger og fordele ved at implementere informationssikkerhed? ....................... 64

7.4 Har jeres virksomhed en udvælgelsesproces for sikkerheds-kontrolforanstaltninger i relation til ISMS? ............................ 67

7.5 Har jeres virksomhed udvalgt et sæt sikkerhedskontrol-foran-staltninger for ISMS? ................................................................ 68

7.6 Har jeres virksomhed en proces for godkendelse af residu-alrisici, der er tilbage efter udvælgelsen af sikkerhedskon-trolforanstaltninger? .............................................................. 70

7.7 Ansøger jeres virksomhed om en certificeringsaudit foretaget af tredjepart?............................................................. 71

8 Implementering af ledelsessystem for informationssikkerhed ... 73

8.1 Har jeres virksomhed en risikohåndteringsplan? .................. 73

8.2 Har jeres virksomhed allokeret roller og ansvarsområder for ISMS? ......................................................................................... 74

8.3 Har jeres virksomhed udarbejdet alle nødvendige politikker og procedurer for ISMS? .......................................................... 74

Politik for acceptabel brug af e-mail ................................................. 75

8.4 Har jeres virksomhed etableret et system til måling af informationssikkerhed? ............................................................ 76

8.5 Har jeres virksomhed etableret en proces til håndtering af informationssikkerhedshændelser? ........................................ 77

8.6 Har jeres virksomhed sørget for den nødvendige uddannelse af medarbejderne? ............................................................ 79

8.7 Har jeres virksomhed allerede implementeret sit ISMS? ..... 79

9 Overvågning og gennemgang .......................................................... 80

9.1 Overvåger og gennemgår jeres virksomhed regelmæssigt jeres ISMS-system? .................................................................. 80

9.2 Revurderer jeres virksomhed regelmæssigt jeres ISMS-system? ........................................................................... 81

9.3 Revurderer jeres virksomhed regelmæssigt de informations-sikkerhedsrisici, den er udsat for? ............................................. 81


9.4 Overvåger jeres virksomhed regelmæssigt, hvordan jeres it-systemer bruges, eller om de misbruges? ......................... 82

9.5 Registrerer jeres virksomhed alle informationssikkerheds- relaterede hændelser, -overtrædelser og -kompromisser? .. 83

9.6 Måler jeres virksomhed ISMS-implementeringen regelmæssigt? ........................................................................... 84

9.7 Gennemfører jeres virksomhed effektive evalueringer og audit af ISMS? ........................................................................... 84

10 Interne ISMS-audit ............................................................................ 85

10.1 Er jeres ledelse opmærksom på, at den bør gennemføre ISMS-audit? ............................................................................... 85

10.2 Har jeres ledelse et program og dokumenterede procedurer for jeres interne ISMS-audit? .................................................... 85

10.3 Er jeres ledelse opmærksom på, hvor vigtigt det er at reagere på afvigelser fra ISO/IEC 27001, som er identificeret ved interne ISMS-audit? .................................... 86

11 Ledelsens evaluering ......................................................................... 88

11.1 Ved jeres ledelse, hvilken information der bør behandles ved evaluering af ISMS? ........................................................... 88

11.2 Ved jeres ledelse, hvilken slags output den kan forvente af ISMS-evalueringen? ................................................................. 89

12 Handlinger til vedligeholdelse og forbedring af ISMS .................. 90

12.1 Er jeres virksomhed opmærksom på nødvendigheden af at opdatere og vedligeholde ISMS? ............................................ 90

12.2 Er jeres virksomhed opmærksom på, at forbedringer og op- dateringer af jeres systemer eller drifts- og applikationssoft-

ware bør ske på en styret og kontrolleret måde? ................... 90

12.3 Er jeres virksomhed opmærksom på, at den bør implementere en løbende forbedringsproces for overvågning, evalu-

ering, og styring af informationssikkerhedshændelser? ...... 91

13 Dokumentation for overholdelse af ISMS over for interessenter 92

13.1 Har jeres virksomhed valgt en metode til at påvise, at den overholder ISMS over for interessenter? ................................ 92

12

13.2 Ved I, hvorfor nogle virksomheder søger en ISMS-certificering? ................................................................... 93

13.3 Har jeres virksomhed viden om dokumentationskravene til en ISMS-audit? ...................................................................... 93

13.4 Forstår jeres virksomhed ISO/IEC 27001-audit- processen? ................................................................................. 94

Auditmetodik ....................................................................................... 94

Anvendelsesområde for certificering ............................................... 94

Auditproces i to faser.......................................................................... 95

Specifikke elementer ved ISMS-auditten ......................................... 97

Auditrapport og tildeling af certifikat ................................................ 98

13.5 Er jeres virksomhed opmærksom på behovet for overvåg-ningsaudit under ISMS-certificeringens gyldighedsperiode? 99

13.6 Ved I, hvordan I vælger et certificeringsorgan? ..................... 100

13.7 Er jeres virksomhed tilstrækkelig forberedt til ISMS-certifi-cering i henhold til ISO/IEC 27001? ......................................... 101

Anneks A – Sammenhæng med andre ledelsessystemer ................... 103

Anneks B – Supplerende information ................................................... 105

Anneks C – Forretningskontinuitet ........................................................ 111

Anneks D – Nogle almindelige trusler og hændelser .......................... 120

Anneks E – Personaleforhold .................................................................. 128

Anneks F – Softwaresikkerhed............................................................... 137


Indledning

Et ledelsessystem for informationssikkerhed (ISMS) defineres som et sæt af indbyrdes forbundne og/eller relaterede elementer, der har til formål at fastlægge en politik og mål til at styre og kontrollere en virksomhed i relation til informationssikkerhed med henblik på at nå disse mål.

Den almindelige antagelse er, at ISMS kun er relevant for større virksom-heder på grund af kompleksiteten. Men det kan være enklere og nemme-re at implementere ISMS i små eller mellemstore virksomheder (SMV), da mange af de involverede processer kan simplificeres, og færre perso-ner er involveret.

Denne håndbog indeholder tjeklister, spørgsmål og råd vedrørende for-skellige aspekter omkring etablering, implementering og certificering af ISMS i henhold til ISO/IEC 27001:2005, Informationsteknologi - Sikker-hedsteknikker - Ledelsessystemer for informationssikkerhed - Krav.

Den er henvendt til små og mellemstore virksomheder i udviklede og udviklingslande og giver et overblik over kravene i ISO/IEC 27001. Ved at arbejde sig gennem emnerne ét for ét i denne håndbog vil virksomheds-ledere kunne klarlægge deres virksomheds aktuelle informationssikker-hedssituation og lettere kunne identificere de vigtigste forbedringsområ-der. Den vil derfor være værdifuld, også selvom det endegyldige mål ikke er en fuldstændig ISMS-certificering af den pågældende virksomhed.

Denne håndbog er inddelt i 13 dele, der hver især dækker et særligt aspekt i ISO/IEC 27001. Der er en kort forklaring af de relevante krav og en vejledning i, hvordan kravene indarbejdes i et ISMS for at imødekomme behovene i virksomheden. Alle disse dele behøver ikke blive udført på en gang. Hvert spørgsmål i tjeklisten kan besvares med ja eller nej. Ved at svare ja bekræfter I, at I forstår spørgsmålet og har indarbejdet det i jeres ISMS. At svare nej betyder, at I ikke er helt sikre på problemstillingen, og tjeklisten vil indeholde yderligere oplysninger og vejledning.

ISO/IEC 27001 er i overensstemmelse med ISO 9001:2000, Kvalitetssty-ringssystemer - Krav, samt ISO/IEC 20000:2005, Informationsteknologi - Serviceledelse. Anneks A i denne håndbog forklarer lighederne mellem

14

ISO/IEC 27001, ISO 9001:2000 og ISO/IEC 20000. Hvis en virksomhed al-lerede er certificeret efter ISO 9001:2000, har den implementeret nogle af kravene i ISO/IEC 27001. Opgaven vil da bestå i at udvikle og imple-mentere de informationssikkerhedsspecifikke elementer i ISO/IEC 27001.

Anneks B i denne håndbog indeholder lister med brugbare hjemmesider (ikke oversat til dansk). Anneks C indeholder information om forretnings-kontinuitet og kriseledelse. Anneks D giver nogle eksempler på alminde-lige trusler og hændelser. Anneks E gennemgår personalemæssige (HR) problemstillinger. Endelig indeholder anneks F en vejledning til kontrol af softwareændringer.

Da denne håndbog ikke gengiver teksten i ISO/IEC 27001, opfordres bru-gere til at rekvirere et eksemplar af denne internationale standard hos Dansk Standard, Danmarks nationale standardiseringsorganisation, på www.ds.dk.

Tak

ISO og IEC takker nedenstående personer for deres dedikerede indsats:

Edward J. Humphreys (forfatter)

Convenor of ISO/IEC JTC 1/SC 27/WG 1*)

Martlesham Heath, Suffolk, Storbritannien.

Edward Humphreys blev assisteret af følgende WG 1-eksperter: John Snare (Australien), Angelika Plate (Tyskland), Dale Johnstone (Hong Kong) og Koji Nakao (Japan), som foretog en detaljeret gennemgang af denne bogs indhold.

*) ISO/IEC JTC 1/SC 27/WG 1 er den arbejdsgruppe, som udviklede ISO/IEC 27001:2005.


1 Informationssikkerhed

1.1 Forstår jeres virksomhed informationssikkerhed og informationssikkerhedsledelse?

Ja Gå til næste spørgsmål (1.2)

Nej Se vejledning herunder

Den internationalt anerkendte definition af informationssikkerhed følger herunder.

Informationssikkerhed er beskyttelse af en virksomheds informationsak-tiver mod tab af:

• Fortrolighed – dvs. beskyttelse af informationer mod uautoriseret vide-regivelse eller adgang. Eksempel: beskyttelse mod uautoriseret adgang til en persons kreditkort eller økonomiske informationer, som personen forventer opbevares på fortrolig måde, eller til hemmelige designspeci-fikationer, forskningsresultater, markedsprognoser og analyser.

• Integritet – dvs. beskyttelse af informationer mod uautoriseret æn-dring eller ødelæggelse, også utilsigtet ødelæggelse, samt sikring af informationernes nøjagtighed og pålidelighed. Eksempel: En persons sygejournal eller personoplysninger eller virksomhedsregnskaber skal være nøjagtige, herunder informationer, der er afgørende for, at et forretningssystem kan fungere effektivt, som fx en virksomheds lønudbetalinger, fakturering og/eller lagerstyring.

• Tilgængelighed – dvs. beskyttelse af informationer mod uautorise-ret adgangsforbud for de personer, som har retmæssig adgang. Ek-sempel: Når en virksomheds databaseserver har været udsat for et såkaldt ”denial of service”-angreb (DoS-angreb) (fx forårsaget af en computervirus), kan informationerne i databasen blive utilgængelige, hvilket ville kunne medføre et større systemnedbrud. Alternativt kan tyveri af mobile enheder, som fx en bærbar computer, resultere i, at ejermanden også mister adgangen til de informationer, der var inde-

16

holdt i computeren. Problemer med tilgængelighed og DoS-angreb kan medføre driftsstop for en virksomhed i længerevarende perioder. Naturligvis kan information, der regelmæssigt er blevet sikkerhedsko-pieret, genskabes.

Informationssikkerhedsledelse dækker tre brede områder som illustreret i nedenstående diagram:

16

holdt i computeren. Problemer med tilgængelighed og DoS-angreb kan medføre driftsstop for en virksomhed i længerevarende perioder. Naturligvis kan information, der regelmæssigt er blevet sikkerhedsko-pieret, genskabes.

Informationssikkerhedsledelse dækker tre brede områder som illustreret i nedenstående diagram:

Informations-sikkerhedsledelse

Ledelse af medarbejdere,

processer, forretning, drift,

uddannelse/bevidsthed

Ledelse af juridiske,

lovgivningsmæssige og kontraktmæssige

aspekter

Ledelse af it og fysisk

beskyttelse


1.2 Forstår jeres organisation vigtigheden af foranstaltninger til at styre informationssikkerhedsrisici i den forretnings-mæssige drift og it-systemerne?



Virksomheder verden over er i stigende grad bekymret over informati-onssikkerheden. I løbet af de sidste 20 år er mange blevet eksponeret for risiko som følge af mangel på informationssikkerhed. Denne ekspone-ring er steget drastisk med anvendelsen af internettet som et middel til at gøre forretning og skaffe sig adgang til store mængder information. Efterspørgslen efter flere opkoblingsmuligheder og forretningsadgange via mobile teknologier er også steget voldsomt. Når information mistes, ødelægges, stjæles eller bliver utilgængelig, så går det ud over virksom-hedens renommé og kundernes tillid. Personoplysninger kan blive stjå-let via internettet eller ved tyveri af bærbare computere, som indeholder virksomheds- og personoplysninger, via skade på it-systemer og via an-dre sårbare informationskilder. Erhvervslivet og samfundet står over for mange risici, i takt med at afhængigheden af it-systemer fortsat stiger. Derfor bør bl.a. små og mellemstore virksomheder have kendskab til så-danne risici og ledelsesmæssigt tage skridt til at beskytte deres virksom-hed.

Der har også været en hidtil uset stigning i outsourcing af forretnings-processer og brug af eksterne ydelser, samtidig med at forsyningskæder fortsat vokser i størrelse. Mange små og mellemstore virksomheder er afhængige af eksterne led i forsyningskæden og outsourcede processer og har ikke råd til at ignorere sådanne eksterne informationssikkerheds-risici. Tilbud, kontrakter og serviceleveranceaftaler gør det ofte nødven-digt for leverandørerne at have implementeret de fornødne informations-sikkerhedssystemer. Denne udvikling sætter større fokus på vigtigheden af informationssikkerhed og på at kunne styre forbundne risici.

Hertil kommer, at mange nye love og myndighedsregler indeholder krav til informationssikkerhed, som virksomheder, herunder små og mellem-store virksomheder, skal overholde. Nogle erhvervsforsikringsselskaber kræver nu dokumentation for, at der er styr på informationssikkerheden, før de vil tilbyde forsikringsdækning.

18

Kunder, klienter og forbrugere forventer, at deres leverandører er egnede samarbejdspartnere, når det drejer sig om informationssikkerhed. Kun-ders tillid til, at en lille eller mellemstor virksomhed er en egnet samar-bejdspartner, kan være afgørende.

1.3 Har jeres virksomhed et ledelsessystem vedrørende infor-mationssikkerhed (ISMS)?



Selvom informationssikkerhed er alle medarbejderes ansvar, må den øverste ledelse tage det endelige ansvar – og ikke kun det formelle – for at beskytte en virksomheds informationsaktiver.

Det er en klog investering at have etableret et ISMS, og det kan sikre virksomhedens fremtid i denne stadigt mere risikofyldte verden. Imple-mentering af foranstaltninger til at styre forretningsmæssige risici er en effektiv måde at vise, at jeres virksomhed tager informationssikkerhed alvorligt. Det viser, at I er en egnet og troværdig samarbejdspartner.

1.4 Har jeres virksomhed en risikobaseret tilgang til ISMS?



ISO/IEC 27001 er blevet et universelt anerkendt “fælles forretningssprog” for ledelsessystemer for informationssikkerhed. Standarden giver bru-geren en risikostyringsmetode til at træffe nogle sikkerhedsbeslutninger og -foranstaltninger med henblik på at reducere en virksomheds risici til et acceptabelt niveau. ISMS-standarden bruger samme generiske pro-cesmodel som ISO 9001 for kvalitetsledelse, ISO 14001 for miljøledelse, ISO/IEC 20000 for serviceledelse inden for informationsteknologi og ISO 22000 for fødevaresikkerhedsledelse.


Sikkerhedskontrolforanstaltninger etableres, implementeres, anvendes og opdateres mest effektivt i et ledelsessystem

for informationssikkerhed.

Formålet med ISO/IEC 27001 er at opnå effektiv informationssikkerheds-ledelse, der passer til en virksomheds særlige behov samt sikre, at denne effektivitet fastholdes gennem en proces for løbende forbedring. Det betyder, at informationssikkerheden løbende opdateres, således at virk-somheden er i stand til at håndtere udfordringerne i en forretningsverden under konstant forandring.

Virksomheder bør kende de risici, de står over for, for at kunne afgøre, hvilke sikkerhedsforanstaltninger der bør implementeres. Risikostyring er en fornuftig tilgang til informationssikkerhed og til at opnå effektiv be-skyttelse. En virksomhed må identificere, hvilke forretningsområder der er risikobetonede, og afgøre, hvilke der er mest sårbare over for trusler. Dette er udgangspunktet for et ISMS, og det anvendes af virksomheder, der har haft succes med at undgå brud på informationssikkerheden og med at undgå potentiel skade på forretningen.

ISO/IEC 27001 er en systematisk trinvis proces til at opnå effektiv infor-mationssikkerhedsledelse. Det forudsætter, at I omsætter gode inten-tioner til praksis og følger op for at sikre, at det rent faktisk sker. Derfor betragtes standarden ofte som et “fælles forretningssprog”, som gør det muligt for virksomhederne at have en fælles metode til at håndtere ens-artede risici. ISO/IEC 27001-processen kan gradueres til at passe til en hvilken som helst størrelse virksomhed, fra virksomheder med mindre end 10 ansatte til store virksomheder med mange tusinde ansatte.

ISO/IEC 27001 blev udviklet i midten af 90‘erne af erhvervsorganisationer i Storbritannien, som repræsenterede en lang række brancher. Efter den blev vedtaget som national standard, blev den efterfølgende en globalt implementeret international ISO-standard.

iso/ iec 27001 for små og mellemstore...

Documents