Upplýsingaöryggi - Ný og betri útgáfa ISO/IEC 27001

Edward Humphreys

Ný útgáfa upplýsinga-öryggisstaðalsins ISO/IEC 27001Information technology - Security techniques - Information security management systems - Requirements  tók gildi sem alþjóðlegur staðall 1. október síðastliðinn. Staðallinn verður væntanlega þýddur á íslensku á næstu mánuðum, eins og fyrri útgáfa, og gefinn út sem íslenskur staðall. Um það bil sem endurskoðun staðalsins var að ljúka, var Edward Humphreys, sá er leiddi endurskoðunina, spurður út í nýju útgáfuna. Nokkrar spurningarnar fara hér á eftir ásamt atriðum úr svörum Humphreys.

Hverjir eru helstu kostir nýju útgáfunnar?

Að sögn Humphreys var nýja útgáfan uppfærð með hliðsjón af reynslu þeirra sem hafa innleitt eða sóst eftir vottun samkvæmt eldri útgáfu staðalsins, ISO/IEC 27001:2005. Leitast var við að gera staðalinn einfaldari í notkun, sveigjanlegri og skilvirkari. Ýmsar umbætur voru einnig gerðar í sambandi við öryggisstýringar í viðauka A. Var það gert til að tryggja að staðallinn tæki mið af nýjum áhættuþáttum varðandi ýmis þráðlaus tæki eins og snjallsíma, það að notendur villi á sér heimildir, og öðrum veikleikum sem geta fylgt netnotkun. Síðast en ekki síst, þá var staðallinn aðlagaður að uppbyggingu annarra stjórnunarkerfisstaðla til að auðvelda samþættingu stjórnunarkerfa.

Hverjir eru helstu kostirnir við að aðlaga nýja útgáfu ISO/IEC 27001 að uppbyggingu annarra stjórnunarkerfisstaðla?

Aðlögunin hjálpar fyrirtækjum og stofnunum sem vilja innleiða fleiri en eitt stjórnunar-kerfi samtímis. Samræmi í uppbyggingu stjórnunar-kerfisstaðla sparar tíma og peninga þar sem fyrirtækin geta samþætt stefnur og verklagsreglur mismunandi kerfa. Sem dæmi má nefna að fyrirtæki gæti viljað samþætta stjórnunarkerfi upplýsinga-öryggis samkvæmt ISO/IEC 27001 og gæðastjórnunarkerfi samkvæmt ISO 9001.

Hvað þýðir þessi endurskoðun fyrir þau fyrirtæki sem eru nú þegar með vottun samkvæmt eldri útgáfu staðalsins, ISO/IEC 27001:2005?

Fyrirtæki og stofnanir sem eru með vottun samkvæmt eldri útgáfu staðalsins munu þurfa að uppfylla kröfur nýju útgáfunnar. Aðlögunartíminn hefur ekki verið ákveðinn, en venjan er sú að hann sé tvö til þrjú ár frá útkomu nýrrar útgáfu. - Vottunarstofur ættu einnig að nota aðlögunartímann til að aðlaga starf sitt að kröfum nýju útgáfunnar.

Hve mikið verk er að fara frá gömlu útgáfunni og taka upp þá nýju?

Aðlögun að nýrri útgáfu staðalsins ætti ekki að vera vandamál. Aðlögunartíminn gefur fyrirtækjum færi á að fella aðlögunina inn í fyrirliggjandi verkáætlanir og samþætta við umbótaáætlanir og áætlanir um úttektir sem þegar hafa verið gerðar.

Nýjar útgáfur ISO/IEC 27001 og ISO/IEC 27002 eru fáanlegar hjá Staðlaráði. Upplýsingar í síma 520 7150.

Staðlaráð Íslands    Þórunnartúni 2, 3. hæð, 105 Reykjavík    Kennitala: 591193 2019    Opnunartími    Sími 520 7150 fax 520 7171