ݺߣ

ݺߣShare a Scribd company logo

Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22

Lars Neupart
Lars Neupart
1 of 17
Download to read offline
Fremtiden  for  standardiseret   informationssikkerhed?   Lars  Neupart     S,-er  &  direktør  Neupart  A/S   LN@neupart.com   twi<er  @neupart    
Nyheder  på  vej  i  ISO  27001  -­‐serien   ISO  27000   • Overview  and   vocabulary   ISO  27001   • Informa,on  Security   Management  Systems  –   Requirements   ISO  27002   • Code  of  prac,ce  for   informa,on  security   management   ISO  27003     • ISMS  Implementa,on   Guidelines   ISO  27004   • Informa,on  Security   Management  -­‐   Measurement     ISO  27005   • Informa,on  Security   Risk  Management   ISO  27006   • Requirements  for   bodies  providing  audit   and  cer,fica,on     +  +  +  +    
Fremtidens  standard  er  baseret  på   risiko-­‐styring       Allerede  i  første  krav  i  den  ny   ISO  27001  refereres  til  ISO   31000,  standard  for   Enterprise  Risk   Management  
Alle  formelle  krav  og  anbefalinger  om  DS   484  er  udfaset   DS  484   •  2005   •  Dansk  norm   •  Checkliste-­‐sikkerhed   •  Opera,onelle  krav   •  “One  size  fits  all”   ISO  27001   •  2013   •  Interna,onal  Standard   •  Risikobaseret   •  Krav  ,l  ledelsessystem   •  Tilpasses  virksomheden  
Så  hvad  er  nyt  i  ISO  27001  udkastet?   •  En  masse!   •  Nyt  indhold   •  Nye  numre  på  krav   •  Den  er  stadig  kort:  9  sider   med  krav  til  et  ”ISMS”   •  Konkrete  tiltag   (”controls”)  finder  du   stadig  i  Annex  A,  som   refererer  til  ISO  27002  (den   ny)   •  Den  er  rimeligt  bagud-­‐ kompatibel  
Virksomheden  skal  have  en   proces  til  at  håndtere  risici  
Mere  frihed  i  dit  valg  af  risikometode   Krav  til  process:   1.  Kriterier  for  risiko,  også   for  risikoappetit   2.  Risikovurderinger   3.  Fortløbende,  konsistent   proces,  der  sikrer   sammenlignelige  og   korrekte  resultater   (afsnit  6.1  )    
Enterprise  Risk   Management   •   (ISO  31000)   Informa,on   Security  Risk   Management   •   (ISO  27005)   ISMS   Requirements   •   (ISO  27001)     Bedre  sammenhæng  
Risiko-­‐ejer   •  Godkender  handlingsplaner  for  risikohåndtering  og  accepterer/afviser  risici   •  Bemærk:  Aktiv-­‐ejerskab  er  ikke  længere  et  formelt  27001-­‐krav,  men  findes  som  ”control”  i   Annex  A    
Risikohåndtering   Accepter   Reducér   Del   Undgå   Risk  Treatment  =  Risikohåndtering   Valgmuligheder  jævnfør  ISO  27001:2005  og  ISO  27005.   ISO  27001:2013  kræver  ikke  4  former.  Men  krav,  at  der  er  en   process.  I  kan  fx  vælge  disse  4  ,l  jeres  proces.  
SoA  hænger  tættere  sammen  med  riskokohåndtering   Risikohåndtering   SoA  =   Statement  of   Applicability   •  Vælg  behandlingsform   •  Vælg  tiltag  (controls)   •  Check  Annex  A  for  om   nødvendige  tiltag  er  med   •  Begrund  fravalg  OG  tilvalg   (nyhed)  
Hvad  skete  der  lige  med  PDCA?   Plan  -­‐  Do  –  Check  –  Act    er  der  stadig  –  nu  kaldes  det   ”continual  improvement”.  
Risikostyring  =  Risikovurdering  +   Risikohåndtering   •  Risikoejer     •  (Aktiver)   •  Trusler   •  Business  Impact   Assessment   •  Sårbarhedsvurdering   •  Rapportering  og   evaluering   •  Håndtering:  Acceptér,   Reducér,  Del  eller  Undgå  
Afstemning  på  Neupart  webinar  
Lær  mere   •  Webinarer  og  seminarer   om  it-­‐risikostyring  og  ISO   27001  compliance.  Gratis   deltagelse.   •  http://www.neupart.dk/ arrangementer     •  On-­‐demand  adgang  til   optagede  sessioner  om   den  ny  ISO  27001  og  IT  Risk   Management   •  http://www.neupart.dk/ arrangementer/webcasts    
Om  Neupart   •  Neupart  hjælper  virksomheder  med  it-­‐risikostyring   og  med  at  leve  op  til  sikkerhedskrav.  Også  i  skyen!   •  Neupart  er  forskellig  fra  de  traditionelle   konsulenthuse,  fordi  vores  egenudviklede  IT  GRC-­‐ løsning,  SecureAware,  sparer  virksomheders  tid  og   kræver  færre  konsulenttimer.   •  200  kunder  primært  i  Danmark,  Norge,  Tyskland     •  ISO27001-­‐certificeret   –  Første  it-­‐sikkerhedsleverandør  i  DK.   –  Certificeret  siden  2003  (BS7799  /  ISO  27001)  
Spørgsmål  og  svar   •  Til  John  Bonnerup  eller   Lars  Neupart’s  indlæg?  

More Related Content

Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22

  • 1. Fremtiden  for  standardiseret   informationssikkerhed?   Lars  Neupart     S,-er  &  direktør  Neupart  A/S   LN@neupart.com   twi<er  @neupart    
  • 2. Nyheder  på  vej  i  ISO  27001  -­‐serien   ISO  27000   • Overview  and   vocabulary   ISO  27001   • Informa,on  Security   Management  Systems  –   Requirements   ISO  27002   • Code  of  prac,ce  for   informa,on  security   management   ISO  27003     • ISMS  Implementa,on   Guidelines   ISO  27004   • Informa,on  Security   Management  -­‐   Measurement     ISO  27005   • Informa,on  Security   Risk  Management   ISO  27006   • Requirements  for   bodies  providing  audit   and  cer,fica,on     +  +  +  +    
  • 3. Fremtidens  standard  er  baseret  på   risiko-­‐styring       Allerede  i  første  krav  i  den  ny   ISO  27001  refereres  til  ISO   31000,  standard  for   Enterprise  Risk   Management  
  • 4. Alle  formelle  krav  og  anbefalinger  om  DS   484  er  udfaset   DS  484   •  2005   •  Dansk  norm   •  Checkliste-­‐sikkerhed   •  Opera,onelle  krav   •  “One  size  fits  all”   ISO  27001   •  2013   •  Interna,onal  Standard   •  Risikobaseret   •  Krav  ,l  ledelsessystem   •  Tilpasses  virksomheden  
  • 5. Så  hvad  er  nyt  i  ISO  27001  udkastet?   •  En  masse!   •  Nyt  indhold   •  Nye  numre  på  krav   •  Den  er  stadig  kort:  9  sider   med  krav  til  et  ”ISMS”   •  Konkrete  tiltag   (”controls”)  finder  du   stadig  i  Annex  A,  som   refererer  til  ISO  27002  (den   ny)   •  Den  er  rimeligt  bagud-­‐ kompatibel  
  • 6. Virksomheden  skal  have  en   proces  til  at  håndtere  risici  
  • 7. Mere  frihed  i  dit  valg  af  risikometode   Krav  til  process:   1.  Kriterier  for  risiko,  også   for  risikoappetit   2.  Risikovurderinger   3.  Fortløbende,  konsistent   proces,  der  sikrer   sammenlignelige  og   korrekte  resultater   (afsnit  6.1  )    
  • 8. Enterprise  Risk   Management   •   (ISO  31000)   Informa,on   Security  Risk   Management   •   (ISO  27005)   ISMS   Requirements   •   (ISO  27001)     Bedre  sammenhæng  
  • 9. Risiko-­‐ejer   •  Godkender  handlingsplaner  for  risikohåndtering  og  accepterer/afviser  risici   •  Bemærk:  Aktiv-­‐ejerskab  er  ikke  længere  et  formelt  27001-­‐krav,  men  findes  som  ”control”  i   Annex  A    
  • 10. Risikohåndtering   Accepter   Reducér   Del   Undgå   Risk  Treatment  =  Risikohåndtering   Valgmuligheder  jævnfør  ISO  27001:2005  og  ISO  27005.   ISO  27001:2013  kræver  ikke  4  former.  Men  krav,  at  der  er  en   process.  I  kan  fx  vælge  disse  4  ,l  jeres  proces.  
  • 11. SoA  hænger  tættere  sammen  med  riskokohåndtering   Risikohåndtering   SoA  =   Statement  of   Applicability   •  Vælg  behandlingsform   •  Vælg  tiltag  (controls)   •  Check  Annex  A  for  om   nødvendige  tiltag  er  med   •  Begrund  fravalg  OG  tilvalg   (nyhed)  
  • 12. Hvad  skete  der  lige  med  PDCA?   Plan  -­‐  Do  –  Check  –  Act    er  der  stadig  –  nu  kaldes  det   ”continual  improvement”.  
  • 13. Risikostyring  =  Risikovurdering  +   Risikohåndtering   •  Risikoejer     •  (Aktiver)   •  Trusler   •  Business  Impact   Assessment   •  Sårbarhedsvurdering   •  Rapportering  og   evaluering   •  Håndtering:  Acceptér,   Reducér,  Del  eller  Undgå  
  • 15. Lær  mere   •  Webinarer  og  seminarer   om  it-­‐risikostyring  og  ISO   27001  compliance.  Gratis   deltagelse.   •  http://www.neupart.dk/ arrangementer     •  On-­‐demand  adgang  til   optagede  sessioner  om   den  ny  ISO  27001  og  IT  Risk   Management   •  http://www.neupart.dk/ arrangementer/webcasts    
  • 16. Om  Neupart   •  Neupart  hjælper  virksomheder  med  it-­‐risikostyring   og  med  at  leve  op  til  sikkerhedskrav.  Også  i  skyen!   •  Neupart  er  forskellig  fra  de  traditionelle   konsulenthuse,  fordi  vores  egenudviklede  IT  GRC-­‐ løsning,  SecureAware,  sparer  virksomheders  tid  og   kræver  færre  konsulenttimer.   •  200  kunder  primært  i  Danmark,  Norge,  Tyskland     •  ISO27001-­‐certificeret   –  Første  it-­‐sikkerhedsleverandør  i  DK.   –  Certificeret  siden  2003  (BS7799  /  ISO  27001)  
  • 17. Spørgsmål  og  svar   •  Til  John  Bonnerup  eller   Lars  Neupart’s  indlæg?