SlideShare a Scribd company logo

Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22

Lars Neupart
Lars Neupart
1 of 17
Download to read offline
Fremtiden  for  standardiseret   informationssikkerhed?   Lars  Neupart     S,-er  &  direktør  Neupart  A/S   LN@neupart.com   twi<er  @neupart    
Nyheder  på  vej  i  ISO  27001  -­‐serien   ISO  27000   • Overview  and   vocabulary   ISO  27001   • Informa,on  Security   Management  Systems  –   Requirements   ISO  27002   • Code  of  prac,ce  for   informa,on  security   management   ISO  27003     • ISMS  Implementa,on   Guidelines   ISO  27004   • Informa,on  Security   Management  -­‐   Measurement     ISO  27005   • Informa,on  Security   Risk  Management   ISO  27006   • Requirements  for   bodies  providing  audit   and  cer,fica,on     +  +  +  +    
Fremtidens  standard  er  baseret  på   risiko-­‐styring       Allerede  i  første  krav  i  den  ny   ISO  27001  refereres  til  ISO   31000,  standard  for   Enterprise  Risk   Management  
Alle  formelle  krav  og  anbefalinger  om  DS   484  er  udfaset   DS  484   •  2005   •  Dansk  norm   •  Checkliste-­‐sikkerhed   •  Opera,onelle  krav   •  “One  size  fits  all”   ISO  27001   •  2013   •  Interna,onal  Standard   •  Risikobaseret   •  Krav  ,l  ledelsessystem   •  Tilpasses  virksomheden  
Så  hvad  er  nyt  i  ISO  27001  udkastet?   •  En  masse!   •  Nyt  indhold   •  Nye  numre  på  krav   •  Den  er  stadig  kort:  9  sider   med  krav  til  et  ”ISMS”   •  Konkrete  tiltag   (”controls”)  finder  du   stadig  i  Annex  A,  som   refererer  til  ISO  27002  (den   ny)   •  Den  er  rimeligt  bagud-­‐ kompatibel  
Virksomheden  skal  have  en   proces  til  at  håndtere  risici  
Mere  frihed  i  dit  valg  af  risikometode   Krav  til  process:   1.  Kriterier  for  risiko,  også   for  risikoappetit   2.  Risikovurderinger   3.  Fortløbende,  konsistent   proces,  der  sikrer   sammenlignelige  og   korrekte  resultater   (afsnit  6.1  )    
Enterprise  Risk   Management   •   (ISO  31000)   Informa,on   Security  Risk   Management   •   (ISO  27005)   ISMS   Requirements   •   (ISO  27001)     Bedre  sammenhæng  
Risiko-­‐ejer   •  Godkender  handlingsplaner  for  risikohåndtering  og  accepterer/afviser  risici   •  Bemærk:  Aktiv-­‐ejerskab  er  ikke  længere  et  formelt  27001-­‐krav,  men  findes  som  ”control”  i   Annex  A    
Risikohåndtering   Accepter   Reducér   Del   Undgå   Risk  Treatment  =  Risikohåndtering   Valgmuligheder  jævnfør  ISO  27001:2005  og  ISO  27005.   ISO  27001:2013  kræver  ikke  4  former.  Men  krav,  at  der  er  en   process.  I  kan  fx  vælge  disse  4  ,l  jeres  proces.  
SoA  hænger  tættere  sammen  med  riskokohåndtering   Risikohåndtering   SoA  =   Statement  of   Applicability   •  Vælg  behandlingsform   •  Vælg  tiltag  (controls)   •  Check  Annex  A  for  om   nødvendige  tiltag  er  med   •  Begrund  fravalg  OG  tilvalg   (nyhed)  
Hvad  skete  der  lige  med  PDCA?   Plan  -­‐  Do  –  Check  –  Act    er  der  stadig  –  nu  kaldes  det   ”continual  improvement”.  
Risikostyring  =  Risikovurdering  +   Risikohåndtering   •  Risikoejer     •  (Aktiver)   •  Trusler   •  Business  Impact   Assessment   •  Sårbarhedsvurdering   •  Rapportering  og   evaluering   •  Håndtering:  Acceptér,   Reducér,  Del  eller  Undgå  
Afstemning  på  Neupart  webinar  
Lær  mere   •  Webinarer  og  seminarer   om  it-­‐risikostyring  og  ISO   27001  compliance.  Gratis   deltagelse.   •  http://www.neupart.dk/ arrangementer     •  On-­‐demand  adgang  til   optagede  sessioner  om   den  ny  ISO  27001  og  IT  Risk   Management   •  http://www.neupart.dk/ arrangementer/webcasts    
Om  Neupart   •  Neupart  hjælper  virksomheder  med  it-­‐risikostyring   og  med  at  leve  op  til  sikkerhedskrav.  Også  i  skyen!   •  Neupart  er  forskellig  fra  de  traditionelle   konsulenthuse,  fordi  vores  egenudviklede  IT  GRC-­‐ løsning,  SecureAware,  sparer  virksomheders  tid  og   kræver  færre  konsulenttimer.   •  200  kunder  primært  i  Danmark,  Norge,  Tyskland     •  ISO27001-­‐certificeret   –  Første  it-­‐sikkerhedsleverandør  i  DK.   –  Certificeret  siden  2003  (BS7799  /  ISO  27001)  
Spørgsmål  og  svar   •  Til  John  Bonnerup  eller   Lars  Neupart’s  indlæg?  

Recommended

Neupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsNeupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsLars Neupart
 
Fra DS484 til ISO27001
Fra DS484 til ISO27001Fra DS484 til ISO27001
Fra DS484 til ISO27001Gaffri Johnson
 
Maguire - Quality, Focus and Process
Maguire - Quality, Focus and ProcessMaguire - Quality, Focus and Process
Maguire - Quality, Focus and ProcessStina Rhindal Maguire
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark TOPdesk
 
Få værdi fra Tier1Asset’s ISO certificeringer ved køb eller salg af brugt IT-...
Få værdi fra Tier1Asset’s ISO certificeringer ved køb eller salg af brugt IT-...Få værdi fra Tier1Asset’s ISO certificeringer ved køb eller salg af brugt IT-...
Få værdi fra Tier1Asset’s ISO certificeringer ved køb eller salg af brugt IT-...Tier1Asset A/S
 
En styrket kundeservice gennem transformation af administrative processer, An...
En styrket kundeservice gennem transformation af administrative processer, An...En styrket kundeservice gennem transformation af administrative processer, An...
En styrket kundeservice gennem transformation af administrative processer, An...IBM Danmark
 
Intro til kvalitetsledelse og ISO-certificering
Intro til kvalitetsledelse og ISO-certificeringIntro til kvalitetsledelse og ISO-certificering
Intro til kvalitetsledelse og ISO-certificeringSven Brixen
 

Recommended

Neupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsNeupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsLars Neupart
 
Fra DS484 til ISO27001
Fra DS484 til ISO27001Fra DS484 til ISO27001
Fra DS484 til ISO27001Gaffri Johnson
 
Maguire - Quality, Focus and Process
Maguire - Quality, Focus and ProcessMaguire - Quality, Focus and Process
Maguire - Quality, Focus and ProcessStina Rhindal Maguire
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark TOPdesk
 
Få værdi fra Tier1Asset’s ISO certificeringer ved køb eller salg af brugt IT-...
Få værdi fra Tier1Asset’s ISO certificeringer ved køb eller salg af brugt IT-...Få værdi fra Tier1Asset’s ISO certificeringer ved køb eller salg af brugt IT-...
Få værdi fra Tier1Asset’s ISO certificeringer ved køb eller salg af brugt IT-...Tier1Asset A/S
 
En styrket kundeservice gennem transformation af administrative processer, An...
En styrket kundeservice gennem transformation af administrative processer, An...En styrket kundeservice gennem transformation af administrative processer, An...
En styrket kundeservice gennem transformation af administrative processer, An...IBM Danmark
 
Intro til kvalitetsledelse og ISO-certificering
Intro til kvalitetsledelse og ISO-certificeringIntro til kvalitetsledelse og ISO-certificering
Intro til kvalitetsledelse og ISO-certificeringSven Brixen
 
20051031 PRINCE2 Præsentaion Skalstrup
20051031 PRINCE2 Præsentaion Skalstrup20051031 PRINCE2 Præsentaion Skalstrup
20051031 PRINCE2 Præsentaion SkalstrupKim Holm
 
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...Microsoft
 
Lean leadership 2011
Lean leadership 2011Lean leadership 2011
Lean leadership 2011DI - Dansk Industri
 
E book six-sigma
E book six-sigmaE book six-sigma
E book six-sigmaCenter for Lean
 
Rådgivning der skaber værdi
Rådgivning der skaber værdiRådgivning der skaber værdi
Rådgivning der skaber værdiDansk Standard
 
inVisto
inVistoinVisto
inVistoinVisto
 
2Exceed
2Exceed2Exceed
2Exceedjohnnylundnielsen
 
PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus
PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus
PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus IBM Danmark
 
Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...
Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...
Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...InfinIT - Innovationsnetværket for it
 
Porteføljeledelse som en service - Kristina Lund Partner BaseLines
Porteføljeledelse som en service - Kristina Lund Partner BaseLinesPorteføljeledelse som en service - Kristina Lund Partner BaseLines
Porteføljeledelse som en service - Kristina Lund Partner BaseLinesMediehuset Ingeniøren Live
 
Bsci slides
Bsci slidesBsci slides
Bsci slidesVivi Schytt
 
Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)
Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)
Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)IBM Danmark
 
Lean i videnstunge virksomheder - intro Rotary 2012
Lean i videnstunge virksomheder - intro Rotary 2012Lean i videnstunge virksomheder - intro Rotary 2012
Lean i videnstunge virksomheder - intro Rotary 2012Inger Toft Thiersen
 
ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011
ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011
ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011ABC Softwork
 
Produktivitetskonference 2012
Produktivitetskonference 2012Produktivitetskonference 2012
Produktivitetskonference 2012DI - Dansk Industri
 
Hvorofor offshore, når man kan nearshore af Orla Pedersen, Boas Specialister
Hvorofor offshore, når man kan nearshore af Orla Pedersen, Boas SpecialisterHvorofor offshore, når man kan nearshore af Orla Pedersen, Boas Specialister
Hvorofor offshore, når man kan nearshore af Orla Pedersen, Boas SpecialisterInfinIT - Innovationsnetværket for it
 
Peak ydelseskatalog | rådgivning, løsninger og kurser
Peak ydelseskatalog | rådgivning, løsninger og kurserPeak ydelseskatalog | rådgivning, løsninger og kurser
Peak ydelseskatalog | rådgivning, løsninger og kurserPatrick Sorrentino
 
Virksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside versionVirksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside versionThomas Hald
 
DevOps, Development and Operations, Tina McGinley
DevOps, Development and Operations, Tina McGinleyDevOps, Development and Operations, Tina McGinley
DevOps, Development and Operations, Tina McGinleyIBM Danmark
 
Beslutningsmodeller i Erhvervsstyrelsen
Beslutningsmodeller i ErhvervsstyrelsenBeslutningsmodeller i Erhvervsstyrelsen
Beslutningsmodeller i ErhvervsstyrelsenLars Nyberg
 
How the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementHow the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementLars Neupart
 
How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?Lars Neupart
 

More Related Content

Similar to Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22

20051031 PRINCE2 Præsentaion Skalstrup
20051031 PRINCE2 Præsentaion Skalstrup20051031 PRINCE2 Præsentaion Skalstrup
20051031 PRINCE2 Præsentaion SkalstrupKim Holm
 
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...Microsoft
 
Rådgivning der skaber værdi
Rådgivning der skaber værdiRådgivning der skaber værdi
Rådgivning der skaber værdiDansk Standard
 
PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus
PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus
PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus IBM Danmark
 
Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...
Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...
Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...InfinIT - Innovationsnetværket for it
 
Porteføljeledelse som en service - Kristina Lund Partner BaseLines
Porteføljeledelse som en service - Kristina Lund Partner BaseLinesPorteføljeledelse som en service - Kristina Lund Partner BaseLines
Porteføljeledelse som en service - Kristina Lund Partner BaseLinesMediehuset Ingeniøren Live
 
Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)
Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)
Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)IBM Danmark
 
Lean i videnstunge virksomheder - intro Rotary 2012
Lean i videnstunge virksomheder - intro Rotary 2012Lean i videnstunge virksomheder - intro Rotary 2012
Lean i videnstunge virksomheder - intro Rotary 2012Inger Toft Thiersen
 
ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011
ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011
ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011ABC Softwork
 
Hvorofor offshore, når man kan nearshore af Orla Pedersen, Boas Specialister
Hvorofor offshore, når man kan nearshore af Orla Pedersen, Boas SpecialisterHvorofor offshore, når man kan nearshore af Orla Pedersen, Boas Specialister
Hvorofor offshore, når man kan nearshore af Orla Pedersen, Boas SpecialisterInfinIT - Innovationsnetværket for it
 
Peak ydelseskatalog | rådgivning, løsninger og kurser
Peak ydelseskatalog | rådgivning, løsninger og kurserPeak ydelseskatalog | rådgivning, løsninger og kurser
Peak ydelseskatalog | rådgivning, løsninger og kurserPatrick Sorrentino
 
Virksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside versionVirksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside versionThomas Hald
 
DevOps, Development and Operations, Tina McGinley
DevOps, Development and Operations, Tina McGinleyDevOps, Development and Operations, Tina McGinley
DevOps, Development and Operations, Tina McGinleyIBM Danmark
 
Beslutningsmodeller i Erhvervsstyrelsen
Beslutningsmodeller i ErhvervsstyrelsenBeslutningsmodeller i Erhvervsstyrelsen
Beslutningsmodeller i ErhvervsstyrelsenLars Nyberg
 

Similar to Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22 (20)

20051031 PRINCE2 Præsentaion Skalstrup
20051031 PRINCE2 Præsentaion Skalstrup20051031 PRINCE2 Præsentaion Skalstrup
20051031 PRINCE2 Præsentaion Skalstrup
 
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
 
Lean leadership 2011
Lean leadership 2011Lean leadership 2011
Lean leadership 2011
 
E book six-sigma
E book six-sigmaE book six-sigma
E book six-sigma
 
Rådgivning der skaber værdi
Rådgivning der skaber værdiRådgivning der skaber værdi
Rådgivning der skaber værdi
 
inVisto
inVistoinVisto
inVisto
 
2Exceed
2Exceed2Exceed
2Exceed
 
PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus
PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus
PCTY 2012, Kundecase - Service desk v. Lisbeth Jørgensen, Politikens hus
 
Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...
Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...
Den korte vej fra procesbeskrivelser til it-understøttelse af Erik Lennings, ...
 
Porteføljeledelse som en service - Kristina Lund Partner BaseLines
Porteføljeledelse som en service - Kristina Lund Partner BaseLinesPorteføljeledelse som en service - Kristina Lund Partner BaseLines
Porteføljeledelse som en service - Kristina Lund Partner BaseLines
 
Bsci slides
Bsci slidesBsci slides
Bsci slides
 
Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)
Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)
Få fordelene ved agil udvikling i it-porteføljen (IBM Global Business Services)
 
Lean i videnstunge virksomheder - intro Rotary 2012
Lean i videnstunge virksomheder - intro Rotary 2012Lean i videnstunge virksomheder - intro Rotary 2012
Lean i videnstunge virksomheder - intro Rotary 2012
 
ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011
ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011
ABC Breakfast Club m Linak: Vi hæver servicegraden m 20 procent i 2011
 
Produktivitetskonference 2012
Produktivitetskonference 2012Produktivitetskonference 2012
Produktivitetskonference 2012
 
Hvorofor offshore, når man kan nearshore af Orla Pedersen, Boas Specialister
Hvorofor offshore, når man kan nearshore af Orla Pedersen, Boas SpecialisterHvorofor offshore, når man kan nearshore af Orla Pedersen, Boas Specialister
Hvorofor offshore, når man kan nearshore af Orla Pedersen, Boas Specialister
 
Peak ydelseskatalog | rådgivning, løsninger og kurser
Peak ydelseskatalog | rådgivning, løsninger og kurserPeak ydelseskatalog | rådgivning, løsninger og kurser
Peak ydelseskatalog | rådgivning, løsninger og kurser
 
Virksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside versionVirksomheders risk management hjemmeside version
Virksomheders risk management hjemmeside version
 
DevOps, Development and Operations, Tina McGinley
DevOps, Development and Operations, Tina McGinleyDevOps, Development and Operations, Tina McGinley
DevOps, Development and Operations, Tina McGinley
 
Beslutningsmodeller i Erhvervsstyrelsen
Beslutningsmodeller i ErhvervsstyrelsenBeslutningsmodeller i Erhvervsstyrelsen
Beslutningsmodeller i Erhvervsstyrelsen
 

More from Lars Neupart

How the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementHow the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementLars Neupart
 
How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?Lars Neupart
 
Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen Lars Neupart
 
Dansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingDansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingLars Neupart
 
Neupart Isaca April 2012
Neupart Isaca April 2012Neupart Isaca April 2012
Neupart Isaca April 2012Lars Neupart
 
Muligheder for sikker cloud computing
Muligheder for sikker cloud computingMuligheder for sikker cloud computing
Muligheder for sikker cloud computingLars Neupart
 
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Lars Neupart
 

More from Lars Neupart (7)

How the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementHow the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk Management
 
How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?
 
Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen
 
Dansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingDansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed Risikovurdering
 
Neupart Isaca April 2012
Neupart Isaca April 2012Neupart Isaca April 2012
Neupart Isaca April 2012
 
Muligheder for sikker cloud computing
Muligheder for sikker cloud computingMuligheder for sikker cloud computing
Muligheder for sikker cloud computing
 
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
 

Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22

  • 1. Fremtiden  for  standardiseret   informationssikkerhed?   Lars  Neupart     S,-er  &  direktør  Neupart  A/S   LN@neupart.com   twi<er  @neupart    
  • 2. Nyheder  på  vej  i  ISO  27001  -­‐serien   ISO  27000   • Overview  and   vocabulary   ISO  27001   • Informa,on  Security   Management  Systems  –   Requirements   ISO  27002   • Code  of  prac,ce  for   informa,on  security   management   ISO  27003     • ISMS  Implementa,on   Guidelines   ISO  27004   • Informa,on  Security   Management  -­‐   Measurement     ISO  27005   • Informa,on  Security   Risk  Management   ISO  27006   • Requirements  for   bodies  providing  audit   and  cer,fica,on     +  +  +  +    
  • 3. Fremtidens  standard  er  baseret  på   risiko-­‐styring       Allerede  i  første  krav  i  den  ny   ISO  27001  refereres  til  ISO   31000,  standard  for   Enterprise  Risk   Management  
  • 4. Alle  formelle  krav  og  anbefalinger  om  DS   484  er  udfaset   DS  484   •  2005   •  Dansk  norm   •  Checkliste-­‐sikkerhed   •  Opera,onelle  krav   •  “One  size  fits  all”   ISO  27001   •  2013   •  Interna,onal  Standard   •  Risikobaseret   •  Krav  ,l  ledelsessystem   •  Tilpasses  virksomheden  
  • 5. Så  hvad  er  nyt  i  ISO  27001  udkastet?   •  En  masse!   •  Nyt  indhold   •  Nye  numre  på  krav   •  Den  er  stadig  kort:  9  sider   med  krav  til  et  ”ISMS”   •  Konkrete  tiltag   (”controls”)  finder  du   stadig  i  Annex  A,  som   refererer  til  ISO  27002  (den   ny)   •  Den  er  rimeligt  bagud-­‐ kompatibel  
  • 6. Virksomheden  skal  have  en   proces  til  at  håndtere  risici  
  • 7. Mere  frihed  i  dit  valg  af  risikometode   Krav  til  process:   1.  Kriterier  for  risiko,  også   for  risikoappetit   2.  Risikovurderinger   3.  Fortløbende,  konsistent   proces,  der  sikrer   sammenlignelige  og   korrekte  resultater   (afsnit  6.1  )    
  • 8. Enterprise  Risk   Management   •   (ISO  31000)   Informa,on   Security  Risk   Management   •   (ISO  27005)   ISMS   Requirements   •   (ISO  27001)     Bedre  sammenhæng  
  • 9. Risiko-­‐ejer   •  Godkender  handlingsplaner  for  risikohåndtering  og  accepterer/afviser  risici   •  Bemærk:  Aktiv-­‐ejerskab  er  ikke  længere  et  formelt  27001-­‐krav,  men  findes  som  ”control”  i   Annex  A    
  • 10. Risikohåndtering   Accepter   Reducér   Del   Undgå   Risk  Treatment  =  Risikohåndtering   Valgmuligheder  jævnfør  ISO  27001:2005  og  ISO  27005.   ISO  27001:2013  kræver  ikke  4  former.  Men  krav,  at  der  er  en   process.  I  kan  fx  vælge  disse  4  ,l  jeres  proces.  
  • 11. SoA  hænger  tættere  sammen  med  riskokohåndtering   Risikohåndtering   SoA  =   Statement  of   Applicability   •  Vælg  behandlingsform   •  Vælg  tiltag  (controls)   •  Check  Annex  A  for  om   nødvendige  tiltag  er  med   •  Begrund  fravalg  OG  tilvalg   (nyhed)  
  • 12. Hvad  skete  der  lige  med  PDCA?   Plan  -­‐  Do  –  Check  –  Act    er  der  stadig  –  nu  kaldes  det   ”continual  improvement”.  
  • 13. Risikostyring  =  Risikovurdering  +   Risikohåndtering   •  Risikoejer     •  (Aktiver)   •  Trusler   •  Business  Impact   Assessment   •  Sårbarhedsvurdering   •  Rapportering  og   evaluering   •  Håndtering:  Acceptér,   Reducér,  Del  eller  Undgå  
  • 15. Lær  mere   •  Webinarer  og  seminarer   om  it-­‐risikostyring  og  ISO   27001  compliance.  Gratis   deltagelse.   •  http://www.neupart.dk/ arrangementer     •  On-­‐demand  adgang  til   optagede  sessioner  om   den  ny  ISO  27001  og  IT  Risk   Management   •  http://www.neupart.dk/ arrangementer/webcasts    
  • 16. Om  Neupart   •  Neupart  hjælper  virksomheder  med  it-­‐risikostyring   og  med  at  leve  op  til  sikkerhedskrav.  Også  i  skyen!   •  Neupart  er  forskellig  fra  de  traditionelle   konsulenthuse,  fordi  vores  egenudviklede  IT  GRC-­‐ løsning,  SecureAware,  sparer  virksomheders  tid  og   kræver  færre  konsulenttimer.   •  200  kunder  primært  i  Danmark,  Norge,  Tyskland     •  ISO27001-­‐certificeret   –  Første  it-­‐sikkerhedsleverandør  i  DK.   –  Certificeret  siden  2003  (BS7799  /  ISO  27001)  
  • 17. Spørgsmål  og  svar   •  Til  John  Bonnerup  eller   Lars  Neupart’s  indlæg?