ISO/IEC och Nyheter

Relevanta dokument
Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Ledningssystem för IT-tjänster

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Vilket mervärde ger certifiering dig?


Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Koncernkontoret Enheten för säkerhet och intern miljöledning

Myndigheten för samhällsskydd och beredskaps författningssamling


Riktlinjer för informationssäkerhet

TJÄNSTESKRIVELSE Motion om uppdrag att utreda förutsättningarna för att införa miljöledningssystem i vissa kommunala verksamheter 2018

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för informationssäkerhet

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy. Linköpings kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Fortsättning av MSB:s metodstöd

Mellan ISO 9001:2015 och ISO 9001:2008 Korrelationsmatris

Matriser för korrelation mellan ISO 9001:2008 och ISO 9001:2015

Processinriktning i ISO 9001:2015

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Rätt säkerhet Incident

Kvalitets och miljösystem på byggföretag

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

OHSAS Av Benny Halldin

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Ledning och styrning av IT-tjänster och informationssäkerhet

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informationssäkerhetspolicy för Umeå universitet

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Bilaga till rektorsbeslut RÖ28, (5)

Säkerhetsgranskning

Nyheter i ISO och 14004

BILAGA 3 Tillitsramverk Version: 1.2

Bilaga 3 Säkerhet Dnr: /

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Svensk Standard SS ISO/IEC SS

Administrativ säkerhet

FÖRHINDRA DATORINTRÅNG!

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Förklarande text till revisionsrapport Sid 1 (5)

ISO :2015 4: Ledarskap, ansvar och delaktighet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Informationssäkerhetspolicy inom Stockholms läns landsting

Miljöledningsnytt - nya ISO & andra nyheter

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Revisionsrapport. Bolagsverkets informationssäkerhet. 1. Inledning Bolagsverket SUNDSVALL.

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Finansinspektionens författningssamling

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Kvalitets- och miljösystem? Välkomna! Vad är ett kvalitets- miljösystem? Varför i byggprocessen?

Välkomna! VBEF05, Anne Landin maj Med utveckling menas som bekant åsiktsförändring i för bedömaren behaglig rikting.

Ledningens genomgång

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Svensk Kvalitetsbas kravstandard (2:2019) 1. Utfärdare 2. Revisorer 3. Verksamheter. Antagen den 15 maj 2019

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

OHSAS Ledningssystem för arbetsmiljö

Korsreferens mellan ISO 9001 ISO BF9K 1 (6) ISO 9001:2000/2008 ISO 14001:2004 BF9K Ledningssystem för Kvalitet (Endast rubrik)

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Välkomna! Med utveckling menas som bekant åsiktsförändring i för bedömaren behaglig rikting. Hjalmar Söderberg

Fortsättning av MSB:s metodstöd

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000

SSF Säkerhetschef. Informationssäkerhet Per Oscarson


Utforma policy och styrdokument

Informationsklassning och systemsäkerhetsanalys en guide

ISO 14001:2015 Naturvårdsverket Stefan Larsson/6DS

Finansinspektionens författningssamling

Informationssäkerhetspolicy för Ånge kommun

Mål med dagen. ISO som hållbarhetsverktyg

Jämförelse mellan miljöledningssystemen Svensk Miljöbas, ISO och EMAS Svensk Miljöbas 3:2013

Bilaga Från standard till komponent

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Riskanalys och riskhantering

Bilaga A Checklista vid leverantörsbedömning SIDA 1AV 11

Svensk Kvalitetsbas kravstandard (1:2016)

Revisionen omfattar. Revisionspersonal Ort Datum Dagar Dagens guide. Uppsala, Sveriges Lantbruksuniversitet, Mark- Vatten- Miljöcentrum, Box 7014

Myndigheten för samhällsskydd och beredskaps författningssamling

Välkommen till NMTs miljöledningssystem

SVENSK STANDARD SS-ISO/IEC 27003:2018

Krav Svensk Kvalitetsbas 1:2016 ISO 9 001:2015 Sammanfattning av hur motsvarar kraven i SKB kraven i ISO Ledarskap, ansvar och delaktighet

Välkommen till enkäten!

Transkript:

ISO/IEC 27001 och 27002 Nyheter

Bakgrund till revisionen ISO/IEC 27001 och 27002 var cirka 10 år gamla och behövde uppdateras Harmonisering av ledningssystem (Annex SL)

ISO/IEC 27001:2013(2014)

ISO/IEC 27001 Harmonisering All ISO management system standards will in the future be aligned according to an agreed high level structure, identical core text and common terms and core definitions (ISO/IEC Directives Part 1, Annex SL, Appendix 3)

ISO/IEC 27001 Harmonisering I stort följdes Annex SL, endast ett smärre antal deviations varav en del mer eller mindre editoriella. Editinggruppen valde att använda risk som definierat i ISO Guide 73 och ISO 31000

Nya ISO/IEC 27001 Större betoning på affärsfokus Att besluta om att införa LIS är ett strategiskt affärsbeslut om att upprätta, införa, underhålla och ständigt förbättra ett ledningssystem för informationssäkerhet Ett LIS för att uppnå effektiv informationssäkerhet

27001:2005 Ledningssystem för informationssäkerhet Ledningens ansvar Interna revisioner av LIS Ledningen genomgång av LIS Förbättring av LIS 27001:2013 (2014) Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Utvärdering av prestanda Förbättringar Specifik text för LIS Identical core text (Annex SL) Specifika tillägg för LIS

Nya ISO/IEC 27001:2013 (2014) Riskhanteringen i 27001 är nu harmoniserad med ISO 31000. Detta innebär att riskhanteringen är harmoniserad i alla ledningssystem som använder risk. Annex A speglar den reviderade versionen av ISO/IEC 27002:2013(Sv. översättning 2014)

Övergripande Nyheter Ny struktur Ingen PDCA, föreskriver ingen särskild processmodell Tydlig verksamhetskartläggning i organisationen förutsättningar, breddad definition av intressent Ledarskap innehåller en tydlig skärpning när det gäller ledningens ansvar, engagemang, och att ge tydligt stöd för arbetet

Övergripande Nyheter forts. Planering innehåller nu en ny typ av risker, risker för ledningssystemet, utöver vår traditionella riskhantering Stöd är betydligt mer tydligt vilket stöd som måste finnas i ledningssystemet Minskat fokus på dokumentation (dokumenterad information), öppnar för att organisationen kan välja vilken nivå av dokumentation som behövs

Övergripande Nyheter forts. Verksamhet beskriver de dagliga arbetet med att planera och genomföra verksamheten inklusive att genomföra riskbedömning och riskbehandling Förbättringar innehåller nu endast avvikelser och korrigerande åtgärder preventive action är nu borta.

ISO/IEC 27001 kapitel 4 organisationens förutsättningar Att förstå organisationen och dess förutsättningar Att förstå intressenters behov och förväntningar Att bestämma ledningssystemets omfattning Ledningssystem för informationssäkerhet Större fokus på verksamheten

ISO/IEC 27001 kapitel 5 ledarskap Ledarskap och engagemang Policy Befattningar, ansvar och befogenheter inom organisationen Tydligare krav på ledningens commitment och direkta engagemang

Risk och SOA Kraven på riskbedömning är mer allmänna, eftersom 27001:2013 har anpassats till ISO 31000:2009 För att identifiera risker är det inte nödvändigt att identifiera tillgångar, hot och sårbarheter. Om din organisations nuvarande metod för riskbedömning använder en metod som bygger på tillgångar, hot och sårbarheter är detta helt OK. Men man kan också använda andra alternativa metoder som är lika giltiga för att identifiera, bedöma och utvärdera risker. Kravet på SOA är i stort sett samma som i tidigare version, men du behöver inte "välja" kontroller från bilaga A. Istället fastställer" man de säkerhetsåtgärder som behövs som en del av riskbehandlingen och jämför dessa säkerhetsåtgärder med de i bilaga A för att säkerställa att ingen viktig säkerhetsåtgärd har förbisetts.

Preventive actions Förebyggande åtgärder har tagits bort från den reviderade versionen, men är omstöpt i 6.1.1 som ett allmänt krav rörande riskhantering: När organisationen planerar ledningssystemet för informationssäkerhet ska den beakta de frågor som hänvisas till i 4.1 och de krav som hänvisas till i 4.2 samt avgöra vilka risker och möjligheter som behöver hanteras för att a) säkra att ledningssystemet för informationssäkerhet kan ge avsett resultat; b) förebygga eller minska oönskade effekter; och c) uppnå ständig förbättring.

27001 kapitel 7 stöd Resurser Kompetens Medvetenhet Kommunikation Dokumenterad information Större fokus på verksamhetens förmåga och möjligheter

ISO/IEC 27001 kapitel 8 verksamhet Planering och styrning av verksamheten Bedömning av informationssäkerhetsrisker Behandling av informationssäkerhetsrisker I driftsfasen ska organisationen planera, genomföra och kontrollera de processer som är nödvändiga för att uppfylla kraven på informationssäkerhet och genomföra de åtgärder som beslutats i planeringsfasen (6.1) Denna fas handlar också om att ha processer och planer på plats för att uppnå målen för informationssäkerhet i ett operativt sammanhang (6.2)

8.2 Bedömning av informationssäkerhetsrisker Organisationen ska genomföra bedömningar av informationssäkerhetsrisker med planerade intervall eller när betydande förändringar föreslås eller uppstår, med hänsyn till de kriterier som fastställts.. Riskanalys Riskanalys Riskanalys

8.3 Behandling av informationssäkerhetsrisker Organisationen ska införa planen för behandling av informationssäkerhetsrisker. Vilka åtgärder behöver vidtas Resurser för att genomföra förändringen (personal, budget, teknologi, tjänster, processer Vem är ansvarig för arbetet När påbörjas och avslutas aktiviteten Hur ska åtgärden följas upp, och utvärderas

ISO/IEC 27001 kapitel 9 utvärdering av prestanda Övervakning, mätning, analys och utvärdering Internrevision Ledningens genomgång Vad som övervakas och mäts indikerar hur LIS fungerar

ISO/IEC 27002:2013 (2014)

Nyheter ISO/IEC 27002 Ny struktur Antal skyddsåtgärder minskat från 133 till 114 Antal kapitel har utökats genom att de gamla teknikkapitlen har brutits upp Renodlad att endast innehålla säkerhetsåtgärder

Kapitel Rubrik Antal skyddsåtgärder 5 Informationssäkerhetspolicyer 2 6 Organisation av informationssäkerhet 7 7 Personalsäkerhet 6 8 Hantering av tillgångar 10 9 Styrning av åtkomst 14 10 Kryptografi 2 11 Fysisk och miljörelaterad säkerhet 15 12 Driftsäkerhet 14 13 Kommunikationssäkerhet 7 14 Anskaffning, utveckling och underhåll av system 13 15 Leverantörsrelationer 5 16 Information security incident management 7 17 Hantering av informationssäkerhetsincidenter informationssäkerhetsaspekter avseende hantering av 4 verksamhetens kontinuitet 18 Efterlevnad 8 23

Kopplingen mellan ISO/IEC 27001 och ISO/IEC 27002 ISO/IEC 27001 Krav Omfattnning Normativa hänvisningar Termer och definitioner Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Utvärdering av prestanda Förbättringar Bilaga A (normativ) Åtgärdsmål och säkerhetsåtgärder ISO/IEC 27002 Säkerhetsåtgärder Omfattning Normativa hänvisningar Termer och definitioner Denna standards struktur Informationssäkerhetspolicyer Organisation av informationssäkerhet Personalsäkerhet Hantering av tillgångar Styrning av åtkomst Kryptografi Fysisk och miljörelaterad säkerhet Driftsäkerhet Kommunikationssäkerhet Anskaffning, utveckling och underhåll av system Leverantörsrelationer Hantering av informationssäkerhetsincidenter Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet Efterlevnad

Några viktiga punkter Kap. 5 behandlar både informationssäkerhetspolicyn och lågnivå -policyer (riktlinjer/regler) Mobila enheter och distansarbete ingår i kap. 6 Kap. 8 inkluderar klassning, märkning, hantering, hantering, avveckling och transport av lagringsmedia, Kap. 9 Hantering av åtkomst är mer utvecklat

Några viktiga punkter forts. Kryptering är nu ett eget kapitel Kapitel 12 knyter an en hel del till ITIL-processer i drift och inkluderar även säkerhetskopiering, loggning samt hantering av sårbarheter Kap. 13 kommunikationssäkerhet inkluderar skydd vid informationsöverföring, elektroniska meddelanden samt konfidentialitet (inkl. avtal) Anskaffning, utveckling och underhåll av system är nu ett eget kapitel (14)

Några viktiga punkter forts. Nytt kapitel 15 om leverantörsrelationer (outsourcing) Kapitel 17 handlar nu endast om kontinuiteten för informationssäkerheten, inte verksamheten!

SLUT NÅGRA FRÅGOR??

2014-11-07 29

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss