SlideShare a Scribd company logo

Fra DS484 til ISO27001

Gaffri Johnson
Gaffri Johnson

En gennemgang af fordelene ved ISO27001 contra DS484 og kort præsentation af den kommende opdatering af ISO 27001.

1 of 18
Download to read offline
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   1                         Fra  DS  484  til  ISO  27001     Hvordan  kan  din  virksomhed  efterleve  den  internationale   standard  for  informationssikkerhed  -­‐  ISO  27001?  En  praktisk   vejledning  i  at  skifte  fra  den  udgående  danske  standard,  DS   484  til  den  internationale  ISO  27001.     Af  Gaffri  Johnson   Sikkerhedskonsulent  hos  Neupart  
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   2     Fra  DS  484  til  ISO  27001   Engang  for  længe  siden  var  der  ingen  dansk  standard  for  it-­‐sikkerhed.   Men  så  en  dag  i  2004  besluttede  Folketinget  at  indføre  åbne  standarder  i  alle  statslige   institutioner,  og  med  i  pakken  var  den  nye  danske  standard  DS  484.  DS  484  blev   udarbejdet  som  en  oversættelse  af  den  internationale  standard  ISO  17999  der  igen   stammer  fra  den  engelsk  standard  BS  7799-­‐1.  DS  484  blev  dog  hurtigt  de  facto  standarden   for  it-­‐sikkerhedsimplementering  i  mange  danske  virksomheder.   Den  var  dog  langt  fra  perfekt.   For  mange  har  det,  at  forstå  og  dække  alle  standardens  krav  til  sikringsforanstaltninger,   været  en  administrativ  udfordring.  DS  484  er  en  rigid  standard  med  meget  lidt  albuerum   der  gør  det  svært  at  fravælge  afsnit  som  ikke  er  relevante  for  netop  din  virksomhed.   Men  nu  er  det  heldigvis  snart  slut.  DS  484  udfases  nu  til  fordel  for  den  internationale   standard  ISO  27001  i  sammenhæng  med  at  sidstnævnte  revideres.  Når  2013  glider  over  i   2014  skal  staten,  kommuner  og  mange  virksomheder  overgå  til  ISO  27001  som  deres   foretrukne  rammeværktøj  for  it-­‐sikkerhedsstyring.   Men  før  vi  ser  på  hvordan  man  håndterer  selve  overgangsprocessen  så  lad  os  først  se  på   hvad  forskellen  egentlig  er  på  DS  484  og  ISO  27001.   Hvorfor  ISO  27001?   ISO  27001  lægger  op  til  en  mere  helhedsorienteret  tilgang  til  sikkerhedsstyring  hvor   mennesker  og  processer  sættes  i  fokus.     Effektiv  it-­‐sikkerhedsstyring  kræver  et  velbalanceret  samspil  mellem  fortsat  at  sikre  at  it-­‐ processer  og  systemer  understøtter  forretningens  behov  og  krav,  og  at  væsentlige  it-­‐risici   bliver  håndteret.     Der  er  en  tendens  blandt  virksomheder  til  at  fokusere  meget  på  risici  og  at  håndhæve   kontrolmiljøerne  med  tekniske  løsninger.  Sådan  en  tilgang  ender  ofte  i  ”her  og  nu   løsninger”  når  f.eks.  it-­‐revisionen  kommer  med  deres  krav.     Uden  forankring  i  it-­‐processer,  involvering  af  ledelsen  og  medarbejdere,  er  værdien  af   disse  tiltag  ikke  stor,  har  oftest  kun  kortsigtet  effekt,  er  tungt  at  vedligeholde  og  kan  ende   med  at  være  et  økonomisk  dyrt  bekendtskab.     Tekniske  løsninger  kan  og  bør  ikke  stå  alene.  Der  bør  være  et  afbalanceret  forhold  mellem   teknologi,  mennesker  og  processer.  Teknologi  bør  kun  være  det  værktøj  der  understøtter   elementerne  og  på  sigt  er  værdiskabende  –  ikke  en  omkostning.  Og  netop  det  hjælper  ISO   27001  med.          
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   3                   Med  ISO  27001  skifter  I  fokus  fra  en  kontrol-­‐  og  checklistebaseret  tilgang  til  it-­‐ sikkerhedsledelse,  til  en  mere  procesorienteret  tilgang.     God  it-­‐sikkerhedsledelse  tager  udgangspunkt  i  et  balanceret  forhold  mellem   mennesker,  processer  og  teknologi.     Hvad  er  forskellen  på  DS  484  og  ISO  27001?   Når  din  virksomhed  skifter  til  ISO  27001  vil  du  opleve  nogle  markante  ændringer.  Du  vil   opleve  en  betydeligt  større  fleksibilitet  i  dine  processer  men  du  vil  også  opleve  at  ledelsen   får  en  større  rolle  i  it-­‐sikkerhedsstyringen.  De  fire  vigtigste  forskelle  du  skal  være   opmærksom  på  er:   1.  Kontrolcentrisk  vs.  Procesorienteret   En  af  de  største  udfordringer  ved  DS  484  er  at  se  den  forretningsmæssige  værdi  af  alle  de   sikringstiltag  den  stiller  krav  til.  Arbejdet  med  den  løbende  vedligeholdelse,  sikring  af   efterlevelse  og  rapportering  af  afvigelser  er  en  administrativ  byrde  og  fører  til  at  mange   DS  484  projekter  aldrig  bliver  effektivt  forankret  i  organisationerne.     Man  kan  sige  at  DS  484  har  en  ”alt-­‐eller  intet”  tilgang  i  forhold  til  struktureringen  af   indholdet  og  standardens  formuleringer.  De  procesmæssige  værktøjer  til  at  vurdere  de   konkrete  sikkerhedsbehov,  herunder  hvordan  man  kunne  inddrage  ledelsen  og  måle   effektiviteten  af  sine  tiltag  er  aldrig  blevet  taget  ordentligt  op  i  DS  484  og  mange   virksomheder  har  derfor  manglet  værktøjer  til  at  håndtere  disse  opgaver.     2.  Kravbaseret  vs.  Risikobaseret   Formuleringerne  i  DS  484  har  lagt  op  til  at  alle  kravene  (sikringstiltagene)  i  de  15  afsnit  skal   efterleves,  herunder  også  de  enkelte  afsnits  beskrevne  implementeringsretningslinier.  Det   har  været  med  til  at  give  organisationer  en  meget  teknisk  og  kontrolbaseret  tilgang  til  it-­‐ sikkerhedsstyring.   Med  ISO  27001  flyttes  fokus  til  en  mere  fleksibel  procesorienteret  og  risikobaseret  it-­‐   DS  484  beskrev  en  form  for  check-­‐liste-­‐sikkerhed,  hvor  en  mindre  grad  af   ledelsesinvolvering  var  krævet   Mennesker   Processer   Teknologi  
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   4     sikkerhedsstyring.  Der  stilles  nu  krav  til  at  organisationer  starter  med  at  implementere  et   ledelsesstyringssystem  som  skal  sikre  en  passende  styring  af  it-­‐  sikkerhedsprocesserne.   Det  betyder  at  der  faktisk  kræves  et  vist  minimum  af  modenhed  i  forhold  til  it-­‐governance.   3.  Ledelsesinvolvering   Hvor  DS  484  kun  i  mindre  omfang  beskriver  hvad  ledelsens  rolle  skal  være,  bliver  ledelsen  i   ISO  27001  den  primære  drivkraft  i  forhold  til  den  overordnede  styring  af  sikkerhed  i   forhold  til  forretningsstrategier.  Ledelsen  skal  være  garant  for  at  arbejdet  omkring  it-­‐ sikkerhed  bliver  forankret  i  virksomheden.   ISO  27001  kræver  at  ledelsen  er  engageret,  blandt  andet  gennem  aktiv  deltagelse  i   risikoarbejdet  og  i  beslutninger  omkring  håndtering  af  identificerede  risici.   Risikohåndteringsprocessen  bruges  til  at  kortlægge  hvor  meget  sikkerhed  der  er   nødvendigt  og  ønsket.  Derudover  understøtter  den  beslutninger  om  it-­‐processer  og   teknologiske  løsninger  i  forbindelse  med  kritiske  forretningsprocesser  og  strategiske  mål   for  jeres  virksomhed.    4.  Fleksibilitet   Det  er  blevet  nævnt  et  par  gange  før  men  der  er  en  stor  forskel  på  de  to  standarders   tilgange.  DS  484  gør  meget  ud  af  at  beskrive  de  konkrete  sikringstiltag  der  skal   implementeres.  ISO  27001  lægger  til  gengæld  op  til  at  andre  rammeværktøjer  kan   inddrages  i  forhold  til  valg  af  konkrete  sikringstiltag  og  dybden  eller  effektiviteten  af   sikringsforanstaltninger.   Det  kunne  være  rammeværktøjer  som  ISO  27002,  ISF,  Cobit,  ITIL,  PCI  DSS,  NIST  standarder   m.m.     Hvis  din  virksomhed  har  baseret  sine  sikringsforanstaltninger  på  DS  484,  er  jeres  primære   opgave  at  vurdere  behovet  for  sikringsforanstaltninger.  Dette  behov  skal  tage   udgangspunkt  i  gennemførte  risikovurderinger  for  systemer  og  processer.   ISO  27001  er  risikobaseret,  lægger  op  til  større  grad  af  ledelsesinvolvering  og  er   fleksibel  i  forhold  til  valg  af  konkret  sikkerhedsstandard  til  sikrings-­‐foranstaltninger.   Dog  forventes  det,  at  de  overordnede  it-­‐sikkerhedsprocesser  i  ISO  27002  bliver   behandlet  i  ISMS’et.  
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   5     Hvordan  flytter  man  nemmest  fra  DS  484  til  ISO  27001?   Der  er  heldigvis  et  sammenfald  mellem  indholdet  af  DS  484  og  ISO  27001  så  meget  af  det   arbejde  du  og  din  virksomhed  måske  har  lagt  i  implementeringsarbejdet  omkring  DS  484   ikke  er  spildt.   I  ISO  27001  standardens  afsnit  4-­‐8  fremlægges  alle  kravene  som  dækker  over  ISMS’et   (Information  Security  Management  System)  der  kan  defineres  som  jeres  overordnede   metode  for  styring  af  jeres  it-­‐governance  processer.  ISO  27001  operer  med  princippet   ”Plan-­‐Do-­‐Check-­‐Act”,  og  nedenstående  tegning  illustrerer  hvordan  I  skal  have  etableret  en   vedvarende  og  tilbagevendende  proces.   Når  du  har  kigget  nærmere  på  den,  vil  vi  gennemgå  de  fire  trin  din  virksomhed  skal   igennem  for  at  få  en  glidende  overgang  fra  DS  484  til  ISO  27001.                         Plan   • Etablere   ISMS   Do   • Implemere   og   vedligeholde   ISMS   Check   • Overvåge  og   revurdere   ISMS   Act     • Vedligeholde   og  forbedre   ISMS  
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   6                   Plan:  Etablere  ISMS   I  forbindelse  med  etableringen  af  et  ledelsessystem,  skal  I  identificere  de  overordnede   rammer,  og  som  en  del  af  etableringsfasen  skal  I  have  gennemgået  og  implementeret   følgende:   I  skal  have  fastlagt  omfanget  (”scope”)  af  for  jeres  ISMS.  Er  det  hele   virksomheden  eller  kun  dele  af  jeres  virksomhed  der  skal  omfattes?   Eksempler  på  dette  kan  være  specifikke  lokationer,  afdelinger  eller  juridiske   enheder.  F.eks.  en  supportfunktion,  et  driftscenter,    kontorerne  på  en  adresse  eller   et  selskab.   I  skal  have  etableret  jeres  organisation  omkring  ISMS’et  og  fastlagt   roller/ansvarsfordeling.  F.eks.  hvem  er  ansvarlig  for  risikovurderinger,   interne/eksterne  audit,  it-­‐styregrupper,  ejerskab  af  kritiske  processer  (en  proces  er   et  ”aktiv”  i  ISO-­‐sammenhæng),  beredskabsorganisation,  hvor  opmærksomme  er   jeres  ansatte  på  it-­‐sikkerhedstrusler  (awareness),  m.m.   Strategi  for  den  løbende  awareness  af  brugere  i  jeres  virksomhed.   I  skal  beskrive  jeres  målsætninger  for  it-­‐sikkerhed,  politikker  og  procedurer  og   placere  ansvar  og  opgaver.   Formulering  af  fremgangsmåden  for  it-­‐risikostyring  og  fastlæggelse  af  kriterier  for   risikovillighed.   I  skal  identificere  relevante  aktiver  såsom  forretningsprocesser  og  it-­‐services  som   er  inden  for  ”scope”  og  der  skal  være  ejerskab.   I  systematiserer  dokumentstyringen,  således  at  I  nemmere  kan  håndtere  den   løbende  vedligeholdelse,    understøtte  den  interne/eksterne  audit  og  den   periodiske  revision  af  sikringsforanstaltningerne.   I  fastlægger  det  ønskede  niveau  for  intern/ekstern  audit.     Plan   Do   Check   Act    
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   7                   Do:  Implementere  og  vedligeholde   Ledelsessystemet  skal  være  implementeret  og  forankret  i  organisationen  og  skal  fungere.   De  implementerede  politikker,  procedurer,  sikringsforanstaltninger  skal  gennemføres  som   beskrevet.   Jeres  politikker,  regler  og  procedurer  skal  være  indført.  Det  er  vigtigt  at  de   benyttes  og  ikke  kun  er  vage  hensigtserklæringer.   I  udarbejder  en  ”Statement  of  Applicability”,  hvor  I  udvælger    jeres   sikringsforanstaltninger:  Dem  I  har  udvalgt,  skal  også  være  del  af  jeres   kontrolmiljø.1   I  skal  udpege  personer  der  er  ansvarlige  for  den  løbende  vedligeholdelse  af   ISMS’et  og  de  praktiske  opgaver  forbundet  med  det.   I  skal  have  fastlagt  kriterier  for  kontrol  af  sikringsforanstaltninger,  og  rapportering   af  afvigelser  (metrikker)  skal  være  defineret  og  indarbejdet  i  det  organisatoriske   arbejde  med  it-­‐sikkerhedsstyring.   I  forhold  til  intern  audit  eller  ”kontrol  af  kontroller”  skal  I  identificere  de  områder   hvor  I  foretager  ”registreringer”.  Nogle  typiske  eksempler  er  vurdering  af   opdateringer  inden  udrulning,  årlig  opdatering  af  risikovurderingen,  gennemgang   af  backup  log,  beredskabstest,  brugergennemgange  og  gennemførelse  af   sårbarhedsscanninger.   Alle  de  kontroller  der  medfører  en  registrering  er  også  de  kontroller  hvor  man  ved   audit  forventer  dokumentation  som  bevis  for  udførsel  af  kontrollen  og  dermed   kan  teste  eller  vurdere  ”effektiviteten”  af  kontrollen.                                                                                                                             1  Statement  Of  Applicability  er  det  dokument  der  beskriver  krav  til  sikringsforanstaltninger  og         Plan   Do   Check   Act    
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   8                       Check:  Overvåg  og  revurder  ISMS   Nu  hvor  I  har  fået  indarbejdet  processer,  procedurer  og  sikringsforanstaltninger  skal  I   også  overvåge  om  jeres  sikringsforanstaltninger  opererer  som  forventet  og  jeres   politikker  bliver  overholdt.   I  skal  følge  op  på  jeres  operationelle  sikkerhedskrav,  og  på  de  målsætninger  I  har   fastlagt.     De  afvigelser  I  identificerede  i  forbindelse  med  gennemførsel  af  intern/ekstern   audit  af  proceduremæssige/tekniske  kontroller  skal  registreres,  og  der  skal  være   handlingsplaner  for  hvordan  I  håndterer  afvigelser  eller  kritiske  afvigelser.     Giver  resultatet  af  jeres  awareness  programmer  den  ønskede  effekt  og  er  der   anledning  til  at  tage  de  eksisterende  processer  eller  sikringsforanstaltninger  op  til   genovervejelse?     Jeres  sikkerhedsorganisationen  skal  regelmæssigt    levere  input  til  en   ledelsesrapportering.     Input  er  det  grundlag  ledelsen  tager  udgangspunkt  i  når  der  skal  tage  strategiske   beslutninger  og  give  sikkerhedsorganisationen  mandat  til  de  kommende  opgaver   omkring  it-­‐processer  og  sikkerhed.   Plan   Do   Check   Act    
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   9                     Act:  Vedligehold  og  forbedr   I  skal  løbende  sørge  for  at  jeres  ISMS  revurderes  og  kvaliteten  af  sikkerhed  måles.  Det  gør   I  blandt  andet  ved  at  inddrage  forskellige  parametre.  Her  er  nogle  eksempler:     Tekniske  security  baselines  eller  overskridelser  af  fastlagte  kriterier  for  CVSS  score   ved  sårbarhedsscanninger.     Afvigelser,  i  forbindelse  med  både  den  interne  og  eksterne  audit,  skal  prioriteres   og  der  skal  udarbejdes  en  handlingsplan  for  hvordan  I  vil  håndtere   observationerne.  Vil  I  acceptere  observationen  eller  udbedre  den?    Det  gælde  både   de  forebyggende  og  korrigerende  handlinger.     Resultaterne  af  jeres  målte  metrikker  eller  Key  Performance  Indicators  i  forhold  til   sikringsforanstaltninger  skal  genovervejes  med  henblik  på  at  tilpasse  disse.  I  kan   eksempelvis  udvælge  specifikke    sikkerhedshændelser  som  I  måler  på,  og  holde   det  op  imod  administrative  udgifter  forbundet  med  håndtering  af  disse   (driftsforstyrrelser,  brud  på  fortrolighed  m.  m.).     Opsummering:  Plan-­‐do-­‐check-­‐act  processen  kort  fortalt   ● Etabler  (plan):  Etablering  af  ISMS  politik,  scope,  mål,  processer  og   procedurer   ● Implementér  (do):  Implementering  og  drift  af  ISMS.   Sikringsforanstaltninger  er  på  plads  og  metrikker  er  defineret.   ● Overvåg  (check):  Auditprogram,  håndtering  af  afvigelser  og   ledelsesrapportering   ● Vedligehold  (act):    Iværksættelse  af  korrigerende  og  forbyggende   handlinger     Plan   Do   Check   Act    
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   10     Kom  hurtigt  i  gang   Med  ledelsens  opbakning  til  ISO  27001  projektet,  er  det  næste  skridt  at  få  gennemført  en   egentlig  risikovurdering  for  at  få  afdækket  det  nødvendige  omfang  af  ens   sikringsforanstaltninger.  Der  er  heldigvis  overensstemmelse  mellem  DS  484  og  ISO  27002   sikringsforanstaltningerne,  så  det  I  måske  allerede  har  kan  fint  ”genanvendes.”   I  de  tilfælde,  hvor  der  foreligger  et  krav  om  efterlevelse  af  ISO  27001  skal  I  sikre  at   den  eksisterende  it-­‐sikkerhedsstrategi  dækker  kravene  fra  ISO  27001  afsnit  4-­‐8.     I  bør  gennemgå  den  eksisterende  it-­‐sikkerhedsorganisation,  og  i  det  omfang  det  er   nødvendigt  tilpasse  den  så  den  bliver  gearet  til  proceskravene  i  ISO  27001.     I  skal  identificere  vigtige  aktiver  og  disses  ejerskab.  Typiske  er  det  kritiske   forretningsprocesser,  forretningssystemer  og  it-­‐infrastruktur.       I  skal  gennemføre  en  it-­‐risikovurdering,  så  scopet  for  sikringsforanstaltninger  og   kontroller  bliver  afvejet  op  imod  jeres  reelle  risici.  Det  er  vigtigt  at  jeres  ledelse  er   med  i  beslutningsprocessen  omkring  risikohåndteringen,  da  det  er  dem  der  skal   tage  stilling  til  om  I  skal  acceptere,  undgå,  reducere  eller  dele  risiciene.     Lav  en  forretningskonsekvensvurdering  på  forretningssystemerne  og  gennemfør   en  sårbarhedsvurdering  på  den  underliggende  it-­‐infrastruktur  der  tager   udgangspunkt  i  relevante  trusler.      
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   11           It-­‐risikovurderingen  vil  danne  grundlag  for  hvilke  sikkerhedsområder  hvor  I  bør  sætte  ind   med  skærpede  sikringsforanstaltninger.  Det  giver  samtidig  input  til  hvilke   sikringsforanstaltninger  i  tilvælger    eller  udelader  fra  scopet.  Det  er  blandt  andet  derfor   Neupart  har  udviklet  SecureAware.       PLAN   Fastlæg  scope  for  ISMS   Etabler  proces   Ledelsesopbakning   Riskmetodik   DO   Implementer  ISMS   Processer   Politikker     Procedurer   Sikringsforanstaltninger   CHECK   Evaluer  ISMS   Identificer  risici   Mål  performance  af  processer   og  sikringsforanstaltninger   Intern/ekstern  audit   ACT   Optimer  processer   korrigerende/udbedrende   handlinger   Ledelsesunderstøttede     forbedringer   Selvom  I  måske  ikke  planlægger  at  blive  certificeret,  er  det  alligevel  værdifuld  viden   at  indsamle.  SOA’en  kan  fint  fungere  som  et  udgangspunkt  for  jeres  interne   auditplan  og  bør  også  være  del  af  den  plan  som  den  eksterne  it-­‐audit  tager   udgangspunkt  i.  
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   12     Risikovurderingen  og  udvælgelsen  af  sikringstiltagene   Afsnit  4-­‐8  i  ISO  27001  er  ufravigelige  og  kan  ikke  scopes  ud  i  en  ”Statement  of   Applicability”  (SOA).  De  afsnit  er  forudsætningen  for  overhovedet  at  have  et  ISMS.   Virksomheder  der  har  benyttet  sig  af  DS  484  strukturen,  vil  kunne  anvende  ISO  27002  da   indholdet  er  identisk.  Der  vil  ligge  en  opgave  i  at  gennemgå  alle  afsnittene  og  tage  stilling   til  hvor  godt  man  ønsker  at  kontrollere  disse  processer.  En  hurtig  måde  at  komme  i  gang   med  SOA’en  på,  er  at  gennemgå  alle  ISO  27002  kontrolområderne  og  vurdere  hvor   relevante  de  er  for  jer.     Out  of  scope  (N/A)     I  scope  –  i  høj  grad     I  scope  –  I  mindre  grad     Det  øjeblikkelige  resultat  af  denne  øvelse  er  input  til  jeres  vurdering  af  de  eksisterende   politikker,  sikringsforanstaltninger  og  procedurer  samt  i  hvilket  omfang  I  bør  tilpasse,   slette  eller  implementere  nye  sikringsforanstaltninger  eller  procedurer.     Niveauet  for  sikringsforanstaltningerne,  hvad  enten  I  benytter  ISO  27002  eller  andre   sikkerhedsstandarder,  er  i  et  vist  omfang  frivilligt.  Har  i  allerede  vurderet  hvilke  områder   jeres  sikkerhedshåndbog  eller  politik  skal  indeholde,  bør  I  holde  jeres  prioriteringer  op   imod  ISO  27002,  for  at  sikre  at  I  ikke  mangler  at  adressere  et  vigtigt  område.   Der  vil  ofte  være  kritiske  processer  der  sjældent  kan  scopes  helt  ud  såsom  Change   Management,  backup  processer  og  beredskabsstyring.  I  nogle  tilfælde  vil  disse  processer   være  outsourcet.  Hvis  vigtige  processer  er  outsourcet  skal  jeres  fokus  ligge  på   leverandørstyringen,  kontrakter,  SLA’er  og  aftalte  metrikker,  således  at  I  sikrer  at   leverandørerne  overholder  jeres  sikkerhedskrav.   ISO  27001  er  under  revidering,  hvad  så?   Den  eksisterende  ISO  27001  standard  er  i  øjeblikket  under  revidering  og  forventes  at  blive   officielt  klar  til  anvendelse  medio  2013  -­‐  primo  2014.  Der  bliver  lagt  op  til  nogle  strukturelle   ændringer  i  de  enkelte  afsnit  og  Plan-­‐Do-­‐Check-­‐Act  får  en  mindre  fremtrædende  rolle.  Der   bliver  ligesom  ved  den  sidste  revision  en  overgangsperiode  på  mellem  1-­‐2  år,  hvor   eksisterende  certificerede  virksomheder  får  mulighed  for  at  tilpasse  deres  ISMS  og  sikre  at   de  overholder  kravene  i  den  nye  standard.   Der  har  i  flere  it-­‐sikkerhedsmedier  været  snak  omkring  nogle  af  ændringerne  i  den  nye   standard  bl.a.  at  Plan-­‐Do-­‐Check-­‐Act  forsvinder  helt.  Det  er  ikke  helt  korrekt  da   elementerne  fortsat  vil  være  en  del  af  standardens  nye  afsnit  omend  mindre  eksplicit  end  i   ISO  27005:2005.    
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   13                             De  vigtigste  ændringer  i  det  nuværende  udkast  omfatter  følgende  elementer:   Der  vil  være  en  øget  grad  af  fleksibilitet  i  forhold  til  valg  af  risikometode.  Der   lægges  i  højere  grad  op  til  at  standarden  skal  tilpasse  sig  ISO  31000  standarden   som  omhandler  Enterprise  Risk  Management.     Kravene  i  de  enkelte  ISMS  afsnit  er  præciseret  så  der  bør  være  er  en  mindre  risiko   for  fejltolkning  af  kravene.   Kravene  til  ISMS  konteksten  er  blevet  skærpede  og  kravene  til  identifikation  af   succeskriterier  for  ISMS’et  er  blevet  præciseret.   Der  er  nu  et  krav  om  at  der  i  forbindelse  med  udvælgelsen  af  it-­‐kontroller  (SOA)   samtidigt  foretages  en  beskrivelse  af  succeskriterier  og  proces  for  måling  af   effektiviteten  af  it-­‐kontrollerne  eller  KPI’er  (evaluering  af  performance).     Neupart  vil,  i  forbindelse  med  udgivelsen  af  den  nye  ISO  27001  standard,  udarbejde  en   officiel  vejledning  til  hvordan  virksomheder  nemmest  kan  overgå  fra  den  gamle  ISO  27001   standard  til  den  nye.  Så  når  den  tid  oprinder  skal  vi  også  nok  hjælpe  jer  på  vej.             Kontekst   Lederskab   Planlægning   Support     Drift   Evaluering  af   performance   Forbedringer   PLAN   DO   Check   ACT  
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   14     Opsummering   Overgangen  fra  DS  484  til  ISO  27001  behøver  ikke  at  være  en  kompleks  affære.  Faktisk   giver  skiftet  jer  muligheden  for  at  få  ryddet  op  i  jeres  processer  og   sikringsforanstaltninger,  og  dermed  også  reducere  kompleksiteten  af  jeres  politikker  og   sikringsforanstaltninger.   Opsummering  af  de  vigtigste  ting  I  skal  overveje   Jeres  it-­‐sikkerhedsstyring  skal  være  risikobetonet  og  derfor  er  gennemførsel  af  it-­‐ risikovurderinger  en  forudsætning  for  det  videre  arbejde.       Der  er  direkte  match  mellem  sikringsforanstaltningerne  i  DS  484  og  ISO  27002.     Jeres  it-­‐risikovurdering  giver  jer  grundlaget  for  at  kunne  tilvælge  eller  fravælge   sikringsforanstaltninger.     Da  ledelsen  skal  have  en  aktiv  rolle  i  forhold  til  risikobehandling,  sætter  det  også   krav  til    organisationens  modenhed  og  ledelsens  engagement  i  projektet.     I  kan  med  fordel  tage  overgangen  i  etaper  så  I  får  organisationen  med.  Start  med   at  få  identificeret  kritiske  processer  og  systemer  og  lav  en   forretningskonsekvensvurdering  (BIA)  og  trussels/sårbarhedsvurdering  af   underliggende  it-­‐systemer.     Der  er  ingen  grund  til  at  vente  til  den  revideret  udgave  af  ISO  27001  bliver   offentliggjort,  da  der  ikke  grundlæggende  bliver  ændret  ved  standarden.  ISMS   kravene  er  de  samme  selvom  der  bliver  foretaget  et  par  ændringer  til  begreberne.     Neupart  vil  -­‐  når  den  endelig  revision  af  ISO  27001  er  klar  -­‐  udarbejde  en  vejledning  til   skiftet  fra  ISO  27001:2005  til  ISO  27001:2013.    
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   15     Erfaringer  fra  en  certificeret  virksomhed   Neupart  A/S  har  været  certificeret  siden  2003.  Først  i  henhold  til  den  britiske  standard   BS7799-­‐2  ,  som  var  forgængeren  til  ISO  27001,  og  siden  2006  i  henhold  til  ISO  27001.  Audit   blev  udført  af  Dansk  Standard  Certificering,  og  certifikaterne  udstedes  for  en  treårig   periode.  Ved  indgangen  til  hver  treårig  periode  udføres  den  store  certificerings  audit.  Efter   et  og  to  år  udføres  et  opfølgningsaudit,  der  er  lidt  mindre  omfattende.   Vi  har  haft  tre  forskellige  ”lead  auditors”  gennem  tiderne.  Checklisten  er  selvfølgelig  altid   ISO  27001,  men  vi  har  oplevet  lidt  forskellige  prioriteter.  Det  vigtigste  er  altid  at  sørge  for   at  ISMS’et  er  levende  og  løbende  vedligeholdt.   Den  er  vigtigt  at  man  passer  på,  over  tid,  ikke  at  lade  ISMS’et  vokse  sig  for  stort  til   formålet.  Det  kan  virke  tillokkende  og  næsten  naturligt  at  reagere  på  en  hændelse  eller  en   ”audit  finding”  med  at  indføre  en  ny  administrativ  regel  eller  procedure.  Med  tiden  giver   det  et  mere  bureaukratisk  ISMS  som  er  vanskeligere  at  vedligeholde.   Jo  flere  regler  og  procedurer,  jo  mere  intern  audit  er  nødvendig,  jo  sværere  er  det  for   organisationen  at  efterleve  disse  regler  og  procedurer.  Det  er  aldrig  godt.  Man  skal   trodsalt  overholde  sine  egne  politikker/regler/procedurer.   Hos  Neupart  voksede  ISMS’et  på  otte  år  til  70  procedurer.  ISMS'et  trængte  til  en   slankekur.  It-­‐sikkerhedschefen  satte  sig  derfor  ned  og  skar  fedtet  væk  så  det  blev  bragt   ned  på  35  procedurer.    
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   16                   SecureConsult  fra  Neupart:     Erfarne  it-­‐sikkerhedskonsulenter   Skal  I  etablere  et  ISMS?  Hvordan  udarbejdes  en  “Statement  of  Applicability”?  Skal  den   årlige  risikovurdering  gennemføres?    Skal  beredskabsplanerne  opdateres?    Hvordan  følger   I  op  på  hændelser?  Har  I  aftalt  sikkerhedsansvar  med  jeres  it-­‐leverandører?    Beskyttes   persondata  tilstrækkeligt?     Vil  I  starte  med  en  ISO  27001  gap-­‐analyse?     Der  er  mange  ting  man  skal  overveje  i  forhold  til  it-­‐sikkerhed.  Derfor  stiller  vi  dygtige  og   erfarne  konsulenter  til  rådighed  så  du  kan  få  en  problemfri  it-­‐risikovurdering.   Neupart  har  været  certificeret  siden  2003.  Vores  viden  og  erfaringer  bringer  virksomheder,   institutioner  og  styrelser  sikkert  i  mål  med  ISO  27001-­‐efterlevelse  på  kortere  tid.  Når  I   planlægger  og  udfører  jeres  ISO  27001-­‐aktiviteter  rigtigt,  kan  den  nødvendige   informationssikkerhed  indføres  pragmatisk  og  fleksibelt.  Det  er  Neupart  eksperter  i.  Vi   kalder  vores  konsulentydelser  for  SecureConsult® .   Ring  til  Louise  Bøttner,  Jeppe  Kodahl,  Jakob  Holm  Hansen  eller  Lars  Neupart  på  7025  8030   hvis  du  vil  høre  lidt  mere  om,  hvordan  vi  kan  hjælpe  dig  –  det  er  uforpligtende.  
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   17                 Hvad  er  SecureAware  IT-­‐GRC   Brug  mindre  tid  på  it-­‐sikkerhedsledelse  og  få  et  mere  præcist  overblik  over  jeres  sikkerhed.   Skal  I  efterleve  standarder  eller  god  skik  for  informationssikkerhed,  giver  SecureAware  jer   forbedret  effektivitet  og  mulighed  for  nemmere  at  vurdere  hvor  meget  sikkerhed  jeres   forretning  behøver.   Med  SecureAware  behøver  I  ikke  længere  komplekse  regneark  til  risikovurdering  og  I  kan   droppe  lange  sikkerhedshåndbøger  i  et  utal  af  versioner.  SecureAware  giver  jer  en  række   genveje  til  ISO  27001  og  PCI-­‐compliance,  og  I  får  helt  styr  på  tilbagevendende   sikkerhedsopgaver.  Så  kan  I  bruge  mindre  tid  på  sikkerhedsledelse,  eller  I  kan  vælge  at   bruge  jeres  konsulentbudget  til  andre  formål.   SecureAware  kan  bruges  som  en  samlet  IT  GRC-­‐pakke,  eller  som  enkeltvise  moduler.   Læs  mere  og  prøv  gratis  i  30  dage  her:    www.neupart.dk/produkter     Med  SecureAware  får  I:   • ISO  27001  Information  Security   Management  System  (ISMS)   • Plan-­‐Do-­‐Check-­‐Act  håndtering   • It-­‐sikkerhedshåndbøger  -­‐  “policy   management”   • Awareness-­‐kampagner   • Risikovurdering  og   risikohåndtering  jævnfør  ISO   27005   • Compliance  analyser   • Styr  på  sikkerhedsopgaverne   • Beredskabsplanlægning  jævnfør   BS  25999   • Tidsbesparende  skabeloner   • PCI  DSS  compliance   • Cloud-­‐leverandør  analyser   • API’er  til  dataudveksling   • Leveres  som  SaaS  eller   traditionel  software   • Smart  upgrade  giver  nem   adgang  til  nye  funktioner  og   indhold   • Support  for  en  række   anerkendte  SQL-­‐databaser   • MS  Active  Directory  support   med  brugere  og  grupper  
  Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   18             Neupart  hjælper  virksomheder  med  it-­‐risikostyring  og  med  at  leve  op  til  sikkerhedskrav.   Også  i  skyen!  Neupart  er  forskellig  fra  de  traditionelle  konsulenthuse,  fordi  vores   egenudviklede  IT  GRC-­‐løsning,  SecureAware,  sparer  virksomheders  tid  og  kræver  færre   konsulenttimer.  Neupart  er  specialist  i  ISO  27001,  DS  484-­‐,  Cobit,  PCI  og  cloud-­‐sikkerhed.   Med  mere  end  200  private  og  offentlige  virksomheder  som  kunder  er  Neupart  den   førende  IT  GRC-­‐leverandør.  Neupart  er  ISO  27001-­‐certificeret.   Neupart  A/S     Hollandsvej  12   DK-­‐2800  Lyngby   T:  +45  7025  8030   www.neupart.dk  

Recommended

KMD_sikkerhedbrochure
KMD_sikkerhedbrochureKMD_sikkerhedbrochure
KMD_sikkerhedbrochureClaus Lavdal
 
Islamic SIM pitching slides 2009
Islamic SIM pitching slides 2009Islamic SIM pitching slides 2009
Islamic SIM pitching slides 2009Yiannis Hatzopoulos
 
KonnexSIM middleware
KonnexSIM middlewareKonnexSIM middleware
KonnexSIM middlewareYiannis Hatzopoulos
 
CER (Communicating European Research) event news _en Brussels Belgium
CER (Communicating European Research) event news _en Brussels BelgiumCER (Communicating European Research) event news _en Brussels Belgium
CER (Communicating European Research) event news _en Brussels BelgiumYiannis Hatzopoulos
 
Mongolia islam. SIM Card for Muslims report
Mongolia islam. SIM Card for Muslims reportMongolia islam. SIM Card for Muslims report
Mongolia islam. SIM Card for Muslims reportYiannis Hatzopoulos
 
Chapter5_PlatformUsersGuide
Chapter5_PlatformUsersGuideChapter5_PlatformUsersGuide
Chapter5_PlatformUsersGuideJames D. Howes
 
Improve productivity part 2
Improve productivity part 2Improve productivity part 2
Improve productivity part 2Bahtiar Yulianto
 
Africanword.tv Islamic SIM to be showcased in Africa
Africanword.tv Islamic SIM to be showcased in AfricaAfricanword.tv Islamic SIM to be showcased in Africa
Africanword.tv Islamic SIM to be showcased in AfricaYiannis Hatzopoulos
 

Recommended

KMD_sikkerhedbrochure
KMD_sikkerhedbrochureKMD_sikkerhedbrochure
KMD_sikkerhedbrochureClaus Lavdal
 
Islamic SIM pitching slides 2009
Islamic SIM pitching slides 2009Islamic SIM pitching slides 2009
Islamic SIM pitching slides 2009Yiannis Hatzopoulos
 
KonnexSIM middleware
KonnexSIM middlewareKonnexSIM middleware
KonnexSIM middlewareYiannis Hatzopoulos
 
CER (Communicating European Research) event news _en Brussels Belgium
CER (Communicating European Research) event news _en Brussels BelgiumCER (Communicating European Research) event news _en Brussels Belgium
CER (Communicating European Research) event news _en Brussels BelgiumYiannis Hatzopoulos
 
Mongolia islam. SIM Card for Muslims report
Mongolia islam. SIM Card for Muslims reportMongolia islam. SIM Card for Muslims report
Mongolia islam. SIM Card for Muslims reportYiannis Hatzopoulos
 
Chapter5_PlatformUsersGuide
Chapter5_PlatformUsersGuideChapter5_PlatformUsersGuide
Chapter5_PlatformUsersGuideJames D. Howes
 
Improve productivity part 2
Improve productivity part 2Improve productivity part 2
Improve productivity part 2Bahtiar Yulianto
 
Africanword.tv Islamic SIM to be showcased in Africa
Africanword.tv Islamic SIM to be showcased in AfricaAfricanword.tv Islamic SIM to be showcased in Africa
Africanword.tv Islamic SIM to be showcased in AfricaYiannis Hatzopoulos
 
SIMagine 2010 Islamic SIM press release SIMAlliance
SIMagine 2010 Islamic SIM press release SIMAllianceSIMagine 2010 Islamic SIM press release SIMAlliance
SIMagine 2010 Islamic SIM press release SIMAllianceYiannis Hatzopoulos
 
Islamic SIM report from Nairobi
Islamic SIM report from NairobiIslamic SIM report from Nairobi
Islamic SIM report from NairobiYiannis Hatzopoulos
 
Αγιορείτικο Βήμα - Ισλαμική κάρτα SIM
Αγιορείτικο Βήμα - Ισλαμική κάρτα SIMΑγιορείτικο Βήμα - Ισλαμική κάρτα SIM
Αγιορείτικο Βήμα - Ισλαμική κάρτα SIMYiannis Hatzopoulos
 
Deutsche Welle Islamic SIM Card in Arabic
Deutsche Welle Islamic SIM Card in ArabicDeutsche Welle Islamic SIM Card in Arabic
Deutsche Welle Islamic SIM Card in ArabicYiannis Hatzopoulos
 
Gemalto KonnexSim - SIMagine 2009
Gemalto KonnexSim - SIMagine 2009Gemalto KonnexSim - SIMagine 2009
Gemalto KonnexSim - SIMagine 2009Yiannis Hatzopoulos
 
Vlugschrift pbc: waar moet de overheid echt voor zorgen
Vlugschrift pbc: waar moet de overheid echt voor zorgenVlugschrift pbc: waar moet de overheid echt voor zorgen
Vlugschrift pbc: waar moet de overheid echt voor zorgenMark Logtenberg
 
Fortune Greece Magazine Islamic SIM card
Fortune Greece Magazine Islamic SIM cardFortune Greece Magazine Islamic SIM card
Fortune Greece Magazine Islamic SIM cardYiannis Hatzopoulos
 
Top news Tajikistan. GSM SIM Card designed for Muslims
Top news Tajikistan. GSM SIM Card designed for MuslimsTop news Tajikistan. GSM SIM Card designed for Muslims
Top news Tajikistan. GSM SIM Card designed for MuslimsYiannis Hatzopoulos
 
Salam news Russia. Islamic SIM Card
Salam news Russia. Islamic SIM CardSalam news Russia. Islamic SIM Card
Salam news Russia. Islamic SIM CardYiannis Hatzopoulos
 
ICT AIM project Energy Management Device Keletron
ICT AIM project Energy Management Device KeletronICT AIM project Energy Management Device Keletron
ICT AIM project Energy Management Device KeletronYiannis Hatzopoulos
 
LinguaMobila
LinguaMobilaLinguaMobila
LinguaMobilaYiannis Hatzopoulos
 
Islamic sim Mobip 2012 Thessaloniki
Islamic sim Mobip 2012 ThessalonikiIslamic sim Mobip 2012 Thessaloniki
Islamic sim Mobip 2012 ThessalonikiYiannis Hatzopoulos
 
Deutsche Welle MK -- SIM Card for Muslims
Deutsche Welle MK -- SIM Card for MuslimsDeutsche Welle MK -- SIM Card for Muslims
Deutsche Welle MK -- SIM Card for MuslimsYiannis Hatzopoulos
 
Islamic SIM card report KERDOS.GR
Islamic SIM card report KERDOS.GRIslamic SIM card report KERDOS.GR
Islamic SIM card report KERDOS.GRYiannis Hatzopoulos
 
Κάρτα SIM με ειδικές λειτουργίες για μουσουλμάνους
Κάρτα SIM με ειδικές λειτουργίες για μουσουλμάνουςΚάρτα SIM με ειδικές λειτουργίες για μουσουλμάνους
Κάρτα SIM με ειδικές λειτουργίες για μουσουλμάνουςYiannis Hatzopoulos
 
Araboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليدية
Araboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليديةAraboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليدية
Araboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليديةYiannis Hatzopoulos
 
Nigeria Weekly standard - new Islamic SIM in the market
Nigeria Weekly standard - new Islamic SIM in the marketNigeria Weekly standard - new Islamic SIM in the market
Nigeria Weekly standard - new Islamic SIM in the marketYiannis Hatzopoulos
 
Nigeria weekly standard - SIM Card for Muslims
Nigeria weekly standard - SIM Card for MuslimsNigeria weekly standard - SIM Card for Muslims
Nigeria weekly standard - SIM Card for MuslimsYiannis Hatzopoulos
 
Networking = Lots of Great Quality Customer Conversations
Networking = Lots of Great Quality Customer ConversationsNetworking = Lots of Great Quality Customer Conversations
Networking = Lots of Great Quality Customer ConversationsPaul W. Byrne
 
Rådgivning der skaber værdi
Rådgivning der skaber værdiRådgivning der skaber værdi
Rådgivning der skaber værdiDansk Standard
 
CaseStudy_Devoteam and KMD_ISO27001
CaseStudy_Devoteam and KMD_ISO27001CaseStudy_Devoteam and KMD_ISO27001
CaseStudy_Devoteam and KMD_ISO27001Frederik Borup Helweg-Larsen
 
Endagskursus om informationssikkerhed
Endagskursus om informationssikkerhedEndagskursus om informationssikkerhed
Endagskursus om informationssikkerhedDansk Standard
 

More Related Content

Viewers also liked

SIMagine 2010 Islamic SIM press release SIMAlliance
SIMagine 2010 Islamic SIM press release SIMAllianceSIMagine 2010 Islamic SIM press release SIMAlliance
SIMagine 2010 Islamic SIM press release SIMAllianceYiannis Hatzopoulos
 
Αγιορείτικο Βήμα - Ισλαμική κάρτα SIM
Αγιορείτικο Βήμα - Ισλαμική κάρτα SIMΑγιορείτικο Βήμα - Ισλαμική κάρτα SIM
Αγιορείτικο Βήμα - Ισλαμική κάρτα SIMYiannis Hatzopoulos
 
Deutsche Welle Islamic SIM Card in Arabic
Deutsche Welle Islamic SIM Card in ArabicDeutsche Welle Islamic SIM Card in Arabic
Deutsche Welle Islamic SIM Card in ArabicYiannis Hatzopoulos
 
Gemalto KonnexSim - SIMagine 2009
Gemalto KonnexSim - SIMagine 2009Gemalto KonnexSim - SIMagine 2009
Gemalto KonnexSim - SIMagine 2009Yiannis Hatzopoulos
 
Vlugschrift pbc: waar moet de overheid echt voor zorgen
Vlugschrift pbc: waar moet de overheid echt voor zorgenVlugschrift pbc: waar moet de overheid echt voor zorgen
Vlugschrift pbc: waar moet de overheid echt voor zorgenMark Logtenberg
 
Fortune Greece Magazine Islamic SIM card
Fortune Greece Magazine Islamic SIM cardFortune Greece Magazine Islamic SIM card
Fortune Greece Magazine Islamic SIM cardYiannis Hatzopoulos
 
Top news Tajikistan. GSM SIM Card designed for Muslims
Top news Tajikistan. GSM SIM Card designed for MuslimsTop news Tajikistan. GSM SIM Card designed for Muslims
Top news Tajikistan. GSM SIM Card designed for MuslimsYiannis Hatzopoulos
 
Salam news Russia. Islamic SIM Card
Salam news Russia. Islamic SIM CardSalam news Russia. Islamic SIM Card
Salam news Russia. Islamic SIM CardYiannis Hatzopoulos
 
ICT AIM project Energy Management Device Keletron
ICT AIM project Energy Management Device KeletronICT AIM project Energy Management Device Keletron
ICT AIM project Energy Management Device KeletronYiannis Hatzopoulos
 
Islamic sim Mobip 2012 Thessaloniki
Islamic sim Mobip 2012 ThessalonikiIslamic sim Mobip 2012 Thessaloniki
Islamic sim Mobip 2012 ThessalonikiYiannis Hatzopoulos
 
Deutsche Welle MK -- SIM Card for Muslims
Deutsche Welle MK -- SIM Card for MuslimsDeutsche Welle MK -- SIM Card for Muslims
Deutsche Welle MK -- SIM Card for MuslimsYiannis Hatzopoulos
 
Islamic SIM card report KERDOS.GR
Islamic SIM card report KERDOS.GRIslamic SIM card report KERDOS.GR
Islamic SIM card report KERDOS.GRYiannis Hatzopoulos
 
Κάρτα SIM με ειδικές λειτουργίες για μουσουλμάνους
Κάρτα SIM με ειδικές λειτουργίες για μουσουλμάνουςΚάρτα SIM με ειδικές λειτουργίες για μουσουλμάνους
Κάρτα SIM με ειδικές λειτουργίες για μουσουλμάνουςYiannis Hatzopoulos
 
Araboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليدية
Araboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليديةAraboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليدية
Araboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليديةYiannis Hatzopoulos
 
Nigeria Weekly standard - new Islamic SIM in the market
Nigeria Weekly standard - new Islamic SIM in the marketNigeria Weekly standard - new Islamic SIM in the market
Nigeria Weekly standard - new Islamic SIM in the marketYiannis Hatzopoulos
 
Nigeria weekly standard - SIM Card for Muslims
Nigeria weekly standard - SIM Card for MuslimsNigeria weekly standard - SIM Card for Muslims
Nigeria weekly standard - SIM Card for MuslimsYiannis Hatzopoulos
 
Networking = Lots of Great Quality Customer Conversations
Networking = Lots of Great Quality Customer ConversationsNetworking = Lots of Great Quality Customer Conversations
Networking = Lots of Great Quality Customer ConversationsPaul W. Byrne
 

Viewers also liked (19)

SIMagine 2010 Islamic SIM press release SIMAlliance
SIMagine 2010 Islamic SIM press release SIMAllianceSIMagine 2010 Islamic SIM press release SIMAlliance
SIMagine 2010 Islamic SIM press release SIMAlliance
 
Islamic SIM report from Nairobi
Islamic SIM report from NairobiIslamic SIM report from Nairobi
Islamic SIM report from Nairobi
 
Αγιορείτικο Βήμα - Ισλαμική κάρτα SIM
Αγιορείτικο Βήμα - Ισλαμική κάρτα SIMΑγιορείτικο Βήμα - Ισλαμική κάρτα SIM
Αγιορείτικο Βήμα - Ισλαμική κάρτα SIM
 
Deutsche Welle Islamic SIM Card in Arabic
Deutsche Welle Islamic SIM Card in ArabicDeutsche Welle Islamic SIM Card in Arabic
Deutsche Welle Islamic SIM Card in Arabic
 
Gemalto KonnexSim - SIMagine 2009
Gemalto KonnexSim - SIMagine 2009Gemalto KonnexSim - SIMagine 2009
Gemalto KonnexSim - SIMagine 2009
 
Vlugschrift pbc: waar moet de overheid echt voor zorgen
Vlugschrift pbc: waar moet de overheid echt voor zorgenVlugschrift pbc: waar moet de overheid echt voor zorgen
Vlugschrift pbc: waar moet de overheid echt voor zorgen
 
Fortune Greece Magazine Islamic SIM card
Fortune Greece Magazine Islamic SIM cardFortune Greece Magazine Islamic SIM card
Fortune Greece Magazine Islamic SIM card
 
Top news Tajikistan. GSM SIM Card designed for Muslims
Top news Tajikistan. GSM SIM Card designed for MuslimsTop news Tajikistan. GSM SIM Card designed for Muslims
Top news Tajikistan. GSM SIM Card designed for Muslims
 
Salam news Russia. Islamic SIM Card
Salam news Russia. Islamic SIM CardSalam news Russia. Islamic SIM Card
Salam news Russia. Islamic SIM Card
 
ICT AIM project Energy Management Device Keletron
ICT AIM project Energy Management Device KeletronICT AIM project Energy Management Device Keletron
ICT AIM project Energy Management Device Keletron
 
LinguaMobila
LinguaMobilaLinguaMobila
LinguaMobila
 
Islamic sim Mobip 2012 Thessaloniki
Islamic sim Mobip 2012 ThessalonikiIslamic sim Mobip 2012 Thessaloniki
Islamic sim Mobip 2012 Thessaloniki
 
Deutsche Welle MK -- SIM Card for Muslims
Deutsche Welle MK -- SIM Card for MuslimsDeutsche Welle MK -- SIM Card for Muslims
Deutsche Welle MK -- SIM Card for Muslims
 
Islamic SIM card report KERDOS.GR
Islamic SIM card report KERDOS.GRIslamic SIM card report KERDOS.GR
Islamic SIM card report KERDOS.GR
 
Κάρτα SIM με ειδικές λειτουργίες για μουσουλμάνους
Κάρτα SIM με ειδικές λειτουργίες για μουσουλμάνουςΚάρτα SIM με ειδικές λειτουργίες για μουσουλμάνους
Κάρτα SIM με ειδικές λειτουργίες για μουσουλμάνους
 
Araboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليدية
Araboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليديةAraboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليدية
Araboftoday.com يوناني يخترع شريحة “إسلامية” للهواتف التقليدية
 
Nigeria Weekly standard - new Islamic SIM in the market
Nigeria Weekly standard - new Islamic SIM in the marketNigeria Weekly standard - new Islamic SIM in the market
Nigeria Weekly standard - new Islamic SIM in the market
 
Nigeria weekly standard - SIM Card for Muslims
Nigeria weekly standard - SIM Card for MuslimsNigeria weekly standard - SIM Card for Muslims
Nigeria weekly standard - SIM Card for Muslims
 
Networking = Lots of Great Quality Customer Conversations
Networking = Lots of Great Quality Customer ConversationsNetworking = Lots of Great Quality Customer Conversations
Networking = Lots of Great Quality Customer Conversations
 

Similar to Fra DS484 til ISO27001

Rådgivning der skaber værdi
Rådgivning der skaber værdiRådgivning der skaber værdi
Rådgivning der skaber værdiDansk Standard
 
Endagskursus om informationssikkerhed
Endagskursus om informationssikkerhedEndagskursus om informationssikkerhed
Endagskursus om informationssikkerhedDansk Standard
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22Lars Neupart
 
MorgenBriefing: Roadmap og forum for IoT
MorgenBriefing: Roadmap og forum for IoTMorgenBriefing: Roadmap og forum for IoT
MorgenBriefing: Roadmap og forum for IoTDansk Standard
 
Digital transformation - inspiration til strategisk programsaetning
Digital transformation - inspiration til strategisk programsaetningDigital transformation - inspiration til strategisk programsaetning
Digital transformation - inspiration til strategisk programsaetningSøren Ilsøe
 
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...Microsoft
 
DevOps, Development and Operations, Tina McGinley
DevOps, Development and Operations, Tina McGinleyDevOps, Development and Operations, Tina McGinley
DevOps, Development and Operations, Tina McGinleyIBM Danmark
 
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft
 
ValueProposition_bizInsigt_v1.5
ValueProposition_bizInsigt_v1.5ValueProposition_bizInsigt_v1.5
ValueProposition_bizInsigt_v1.5Karsten Lausten
 
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...Microsoft
 
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark TOPdesk
 
Insight. Om it. For ledere.
Insight. Om it. For ledere.Insight. Om it. For ledere.
Insight. Om it. For ledere.Nicolai Eilstrup
 
Vil du sætte en høj standard i dit innovationsprojekt?
Vil du sætte en høj standard i dit innovationsprojekt?Vil du sætte en høj standard i dit innovationsprojekt?
Vil du sætte en høj standard i dit innovationsprojekt?Dansk Standard
 
Allan Kirkfelt, COWI om viden- og informationskompetencer
Allan Kirkfelt, COWI om viden- og informationskompetencerAllan Kirkfelt, COWI om viden- og informationskompetencer
Allan Kirkfelt, COWI om viden- og informationskompetencerVidenDanmark
 
IT Outsourcing I Danmark – Tjenester og fordele.pptx
IT Outsourcing I Danmark – Tjenester og fordele.pptxIT Outsourcing I Danmark – Tjenester og fordele.pptx
IT Outsourcing I Danmark – Tjenester og fordele.pptxOutsourcer
 

Similar to Fra DS484 til ISO27001 (20)

Rådgivning der skaber værdi
Rådgivning der skaber værdiRådgivning der skaber værdi
Rådgivning der skaber værdi
 
CaseStudy_Devoteam and KMD_ISO27001
CaseStudy_Devoteam and KMD_ISO27001CaseStudy_Devoteam and KMD_ISO27001
CaseStudy_Devoteam and KMD_ISO27001
 
Endagskursus om informationssikkerhed
Endagskursus om informationssikkerhedEndagskursus om informationssikkerhed
Endagskursus om informationssikkerhed
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud Compliance
 
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
 
MorgenBriefing: Roadmap og forum for IoT
MorgenBriefing: Roadmap og forum for IoTMorgenBriefing: Roadmap og forum for IoT
MorgenBriefing: Roadmap og forum for IoT
 
Digital transformation - inspiration til strategisk programsaetning
Digital transformation - inspiration til strategisk programsaetningDigital transformation - inspiration til strategisk programsaetning
Digital transformation - inspiration til strategisk programsaetning
 
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
 
DevOps, Development and Operations, Tina McGinley
DevOps, Development and Operations, Tina McGinleyDevOps, Development and Operations, Tina McGinley
DevOps, Development and Operations, Tina McGinley
 
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
 
ValueProposition_bizInsigt_v1.5
ValueProposition_bizInsigt_v1.5ValueProposition_bizInsigt_v1.5
ValueProposition_bizInsigt_v1.5
 
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering...
 
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark
 
Lean Project Management 2
Lean Project Management 2Lean Project Management 2
Lean Project Management 2
 
Insight. Om it. For ledere.
Insight. Om it. For ledere.Insight. Om it. For ledere.
Insight. Om it. For ledere.
 
2016-04-29 Insight_magasin_web
2016-04-29 Insight_magasin_web2016-04-29 Insight_magasin_web
2016-04-29 Insight_magasin_web
 
Vil du sætte en høj standard i dit innovationsprojekt?
Vil du sætte en høj standard i dit innovationsprojekt?Vil du sætte en høj standard i dit innovationsprojekt?
Vil du sætte en høj standard i dit innovationsprojekt?
 
Outsourcing og offshoring
Outsourcing og offshoringOutsourcing og offshoring
Outsourcing og offshoring
 
Allan Kirkfelt, COWI om viden- og informationskompetencer
Allan Kirkfelt, COWI om viden- og informationskompetencerAllan Kirkfelt, COWI om viden- og informationskompetencer
Allan Kirkfelt, COWI om viden- og informationskompetencer
 
IT Outsourcing I Danmark – Tjenester og fordele.pptx
IT Outsourcing I Danmark – Tjenester og fordele.pptxIT Outsourcing I Danmark – Tjenester og fordele.pptx
IT Outsourcing I Danmark – Tjenester og fordele.pptx
 

Fra DS484 til ISO27001

  • 1.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   1                         Fra  DS  484  til  ISO  27001     Hvordan  kan  din  virksomhed  efterleve  den  internationale   standard  for  informationssikkerhed  -­‐  ISO  27001?  En  praktisk   vejledning  i  at  skifte  fra  den  udgående  danske  standard,  DS   484  til  den  internationale  ISO  27001.     Af  Gaffri  Johnson   Sikkerhedskonsulent  hos  Neupart  
  • 2.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   2     Fra  DS  484  til  ISO  27001   Engang  for  længe  siden  var  der  ingen  dansk  standard  for  it-­‐sikkerhed.   Men  så  en  dag  i  2004  besluttede  Folketinget  at  indføre  åbne  standarder  i  alle  statslige   institutioner,  og  med  i  pakken  var  den  nye  danske  standard  DS  484.  DS  484  blev   udarbejdet  som  en  oversættelse  af  den  internationale  standard  ISO  17999  der  igen   stammer  fra  den  engelsk  standard  BS  7799-­‐1.  DS  484  blev  dog  hurtigt  de  facto  standarden   for  it-­‐sikkerhedsimplementering  i  mange  danske  virksomheder.   Den  var  dog  langt  fra  perfekt.   For  mange  har  det,  at  forstå  og  dække  alle  standardens  krav  til  sikringsforanstaltninger,   været  en  administrativ  udfordring.  DS  484  er  en  rigid  standard  med  meget  lidt  albuerum   der  gør  det  svært  at  fravælge  afsnit  som  ikke  er  relevante  for  netop  din  virksomhed.   Men  nu  er  det  heldigvis  snart  slut.  DS  484  udfases  nu  til  fordel  for  den  internationale   standard  ISO  27001  i  sammenhæng  med  at  sidstnævnte  revideres.  Når  2013  glider  over  i   2014  skal  staten,  kommuner  og  mange  virksomheder  overgå  til  ISO  27001  som  deres   foretrukne  rammeværktøj  for  it-­‐sikkerhedsstyring.   Men  før  vi  ser  på  hvordan  man  håndterer  selve  overgangsprocessen  så  lad  os  først  se  på   hvad  forskellen  egentlig  er  på  DS  484  og  ISO  27001.   Hvorfor  ISO  27001?   ISO  27001  lægger  op  til  en  mere  helhedsorienteret  tilgang  til  sikkerhedsstyring  hvor   mennesker  og  processer  sættes  i  fokus.     Effektiv  it-­‐sikkerhedsstyring  kræver  et  velbalanceret  samspil  mellem  fortsat  at  sikre  at  it-­‐ processer  og  systemer  understøtter  forretningens  behov  og  krav,  og  at  væsentlige  it-­‐risici   bliver  håndteret.     Der  er  en  tendens  blandt  virksomheder  til  at  fokusere  meget  på  risici  og  at  håndhæve   kontrolmiljøerne  med  tekniske  løsninger.  Sådan  en  tilgang  ender  ofte  i  ”her  og  nu   løsninger”  når  f.eks.  it-­‐revisionen  kommer  med  deres  krav.     Uden  forankring  i  it-­‐processer,  involvering  af  ledelsen  og  medarbejdere,  er  værdien  af   disse  tiltag  ikke  stor,  har  oftest  kun  kortsigtet  effekt,  er  tungt  at  vedligeholde  og  kan  ende   med  at  være  et  økonomisk  dyrt  bekendtskab.     Tekniske  løsninger  kan  og  bør  ikke  stå  alene.  Der  bør  være  et  afbalanceret  forhold  mellem   teknologi,  mennesker  og  processer.  Teknologi  bør  kun  være  det  værktøj  der  understøtter   elementerne  og  på  sigt  er  værdiskabende  –  ikke  en  omkostning.  Og  netop  det  hjælper  ISO   27001  med.          
  • 3.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   3                   Med  ISO  27001  skifter  I  fokus  fra  en  kontrol-­‐  og  checklistebaseret  tilgang  til  it-­‐ sikkerhedsledelse,  til  en  mere  procesorienteret  tilgang.     God  it-­‐sikkerhedsledelse  tager  udgangspunkt  i  et  balanceret  forhold  mellem   mennesker,  processer  og  teknologi.     Hvad  er  forskellen  på  DS  484  og  ISO  27001?   Når  din  virksomhed  skifter  til  ISO  27001  vil  du  opleve  nogle  markante  ændringer.  Du  vil   opleve  en  betydeligt  større  fleksibilitet  i  dine  processer  men  du  vil  også  opleve  at  ledelsen   får  en  større  rolle  i  it-­‐sikkerhedsstyringen.  De  fire  vigtigste  forskelle  du  skal  være   opmærksom  på  er:   1.  Kontrolcentrisk  vs.  Procesorienteret   En  af  de  største  udfordringer  ved  DS  484  er  at  se  den  forretningsmæssige  værdi  af  alle  de   sikringstiltag  den  stiller  krav  til.  Arbejdet  med  den  løbende  vedligeholdelse,  sikring  af   efterlevelse  og  rapportering  af  afvigelser  er  en  administrativ  byrde  og  fører  til  at  mange   DS  484  projekter  aldrig  bliver  effektivt  forankret  i  organisationerne.     Man  kan  sige  at  DS  484  har  en  ”alt-­‐eller  intet”  tilgang  i  forhold  til  struktureringen  af   indholdet  og  standardens  formuleringer.  De  procesmæssige  værktøjer  til  at  vurdere  de   konkrete  sikkerhedsbehov,  herunder  hvordan  man  kunne  inddrage  ledelsen  og  måle   effektiviteten  af  sine  tiltag  er  aldrig  blevet  taget  ordentligt  op  i  DS  484  og  mange   virksomheder  har  derfor  manglet  værktøjer  til  at  håndtere  disse  opgaver.     2.  Kravbaseret  vs.  Risikobaseret   Formuleringerne  i  DS  484  har  lagt  op  til  at  alle  kravene  (sikringstiltagene)  i  de  15  afsnit  skal   efterleves,  herunder  også  de  enkelte  afsnits  beskrevne  implementeringsretningslinier.  Det   har  været  med  til  at  give  organisationer  en  meget  teknisk  og  kontrolbaseret  tilgang  til  it-­‐ sikkerhedsstyring.   Med  ISO  27001  flyttes  fokus  til  en  mere  fleksibel  procesorienteret  og  risikobaseret  it-­‐   DS  484  beskrev  en  form  for  check-­‐liste-­‐sikkerhed,  hvor  en  mindre  grad  af   ledelsesinvolvering  var  krævet   Mennesker   Processer   Teknologi  
  • 4.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   4     sikkerhedsstyring.  Der  stilles  nu  krav  til  at  organisationer  starter  med  at  implementere  et   ledelsesstyringssystem  som  skal  sikre  en  passende  styring  af  it-­‐  sikkerhedsprocesserne.   Det  betyder  at  der  faktisk  kræves  et  vist  minimum  af  modenhed  i  forhold  til  it-­‐governance.   3.  Ledelsesinvolvering   Hvor  DS  484  kun  i  mindre  omfang  beskriver  hvad  ledelsens  rolle  skal  være,  bliver  ledelsen  i   ISO  27001  den  primære  drivkraft  i  forhold  til  den  overordnede  styring  af  sikkerhed  i   forhold  til  forretningsstrategier.  Ledelsen  skal  være  garant  for  at  arbejdet  omkring  it-­‐ sikkerhed  bliver  forankret  i  virksomheden.   ISO  27001  kræver  at  ledelsen  er  engageret,  blandt  andet  gennem  aktiv  deltagelse  i   risikoarbejdet  og  i  beslutninger  omkring  håndtering  af  identificerede  risici.   Risikohåndteringsprocessen  bruges  til  at  kortlægge  hvor  meget  sikkerhed  der  er   nødvendigt  og  ønsket.  Derudover  understøtter  den  beslutninger  om  it-­‐processer  og   teknologiske  løsninger  i  forbindelse  med  kritiske  forretningsprocesser  og  strategiske  mål   for  jeres  virksomhed.    4.  Fleksibilitet   Det  er  blevet  nævnt  et  par  gange  før  men  der  er  en  stor  forskel  på  de  to  standarders   tilgange.  DS  484  gør  meget  ud  af  at  beskrive  de  konkrete  sikringstiltag  der  skal   implementeres.  ISO  27001  lægger  til  gengæld  op  til  at  andre  rammeværktøjer  kan   inddrages  i  forhold  til  valg  af  konkrete  sikringstiltag  og  dybden  eller  effektiviteten  af   sikringsforanstaltninger.   Det  kunne  være  rammeværktøjer  som  ISO  27002,  ISF,  Cobit,  ITIL,  PCI  DSS,  NIST  standarder   m.m.     Hvis  din  virksomhed  har  baseret  sine  sikringsforanstaltninger  på  DS  484,  er  jeres  primære   opgave  at  vurdere  behovet  for  sikringsforanstaltninger.  Dette  behov  skal  tage   udgangspunkt  i  gennemførte  risikovurderinger  for  systemer  og  processer.   ISO  27001  er  risikobaseret,  lægger  op  til  større  grad  af  ledelsesinvolvering  og  er   fleksibel  i  forhold  til  valg  af  konkret  sikkerhedsstandard  til  sikrings-­‐foranstaltninger.   Dog  forventes  det,  at  de  overordnede  it-­‐sikkerhedsprocesser  i  ISO  27002  bliver   behandlet  i  ISMS’et.  
  • 5.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   5     Hvordan  flytter  man  nemmest  fra  DS  484  til  ISO  27001?   Der  er  heldigvis  et  sammenfald  mellem  indholdet  af  DS  484  og  ISO  27001  så  meget  af  det   arbejde  du  og  din  virksomhed  måske  har  lagt  i  implementeringsarbejdet  omkring  DS  484   ikke  er  spildt.   I  ISO  27001  standardens  afsnit  4-­‐8  fremlægges  alle  kravene  som  dækker  over  ISMS’et   (Information  Security  Management  System)  der  kan  defineres  som  jeres  overordnede   metode  for  styring  af  jeres  it-­‐governance  processer.  ISO  27001  operer  med  princippet   ”Plan-­‐Do-­‐Check-­‐Act”,  og  nedenstående  tegning  illustrerer  hvordan  I  skal  have  etableret  en   vedvarende  og  tilbagevendende  proces.   Når  du  har  kigget  nærmere  på  den,  vil  vi  gennemgå  de  fire  trin  din  virksomhed  skal   igennem  for  at  få  en  glidende  overgang  fra  DS  484  til  ISO  27001.                         Plan   • Etablere   ISMS   Do   • Implemere   og   vedligeholde   ISMS   Check   • Overvåge  og   revurdere   ISMS   Act     • Vedligeholde   og  forbedre   ISMS  
  • 6.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   6                   Plan:  Etablere  ISMS   I  forbindelse  med  etableringen  af  et  ledelsessystem,  skal  I  identificere  de  overordnede   rammer,  og  som  en  del  af  etableringsfasen  skal  I  have  gennemgået  og  implementeret   følgende:   I  skal  have  fastlagt  omfanget  (”scope”)  af  for  jeres  ISMS.  Er  det  hele   virksomheden  eller  kun  dele  af  jeres  virksomhed  der  skal  omfattes?   Eksempler  på  dette  kan  være  specifikke  lokationer,  afdelinger  eller  juridiske   enheder.  F.eks.  en  supportfunktion,  et  driftscenter,    kontorerne  på  en  adresse  eller   et  selskab.   I  skal  have  etableret  jeres  organisation  omkring  ISMS’et  og  fastlagt   roller/ansvarsfordeling.  F.eks.  hvem  er  ansvarlig  for  risikovurderinger,   interne/eksterne  audit,  it-­‐styregrupper,  ejerskab  af  kritiske  processer  (en  proces  er   et  ”aktiv”  i  ISO-­‐sammenhæng),  beredskabsorganisation,  hvor  opmærksomme  er   jeres  ansatte  på  it-­‐sikkerhedstrusler  (awareness),  m.m.   Strategi  for  den  løbende  awareness  af  brugere  i  jeres  virksomhed.   I  skal  beskrive  jeres  målsætninger  for  it-­‐sikkerhed,  politikker  og  procedurer  og   placere  ansvar  og  opgaver.   Formulering  af  fremgangsmåden  for  it-­‐risikostyring  og  fastlæggelse  af  kriterier  for   risikovillighed.   I  skal  identificere  relevante  aktiver  såsom  forretningsprocesser  og  it-­‐services  som   er  inden  for  ”scope”  og  der  skal  være  ejerskab.   I  systematiserer  dokumentstyringen,  således  at  I  nemmere  kan  håndtere  den   løbende  vedligeholdelse,    understøtte  den  interne/eksterne  audit  og  den   periodiske  revision  af  sikringsforanstaltningerne.   I  fastlægger  det  ønskede  niveau  for  intern/ekstern  audit.     Plan   Do   Check   Act    
  • 7.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   7                   Do:  Implementere  og  vedligeholde   Ledelsessystemet  skal  være  implementeret  og  forankret  i  organisationen  og  skal  fungere.   De  implementerede  politikker,  procedurer,  sikringsforanstaltninger  skal  gennemføres  som   beskrevet.   Jeres  politikker,  regler  og  procedurer  skal  være  indført.  Det  er  vigtigt  at  de   benyttes  og  ikke  kun  er  vage  hensigtserklæringer.   I  udarbejder  en  ”Statement  of  Applicability”,  hvor  I  udvælger    jeres   sikringsforanstaltninger:  Dem  I  har  udvalgt,  skal  også  være  del  af  jeres   kontrolmiljø.1   I  skal  udpege  personer  der  er  ansvarlige  for  den  løbende  vedligeholdelse  af   ISMS’et  og  de  praktiske  opgaver  forbundet  med  det.   I  skal  have  fastlagt  kriterier  for  kontrol  af  sikringsforanstaltninger,  og  rapportering   af  afvigelser  (metrikker)  skal  være  defineret  og  indarbejdet  i  det  organisatoriske   arbejde  med  it-­‐sikkerhedsstyring.   I  forhold  til  intern  audit  eller  ”kontrol  af  kontroller”  skal  I  identificere  de  områder   hvor  I  foretager  ”registreringer”.  Nogle  typiske  eksempler  er  vurdering  af   opdateringer  inden  udrulning,  årlig  opdatering  af  risikovurderingen,  gennemgang   af  backup  log,  beredskabstest,  brugergennemgange  og  gennemførelse  af   sårbarhedsscanninger.   Alle  de  kontroller  der  medfører  en  registrering  er  også  de  kontroller  hvor  man  ved   audit  forventer  dokumentation  som  bevis  for  udførsel  af  kontrollen  og  dermed   kan  teste  eller  vurdere  ”effektiviteten”  af  kontrollen.                                                                                                                             1  Statement  Of  Applicability  er  det  dokument  der  beskriver  krav  til  sikringsforanstaltninger  og         Plan   Do   Check   Act    
  • 8.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   8                       Check:  Overvåg  og  revurder  ISMS   Nu  hvor  I  har  fået  indarbejdet  processer,  procedurer  og  sikringsforanstaltninger  skal  I   også  overvåge  om  jeres  sikringsforanstaltninger  opererer  som  forventet  og  jeres   politikker  bliver  overholdt.   I  skal  følge  op  på  jeres  operationelle  sikkerhedskrav,  og  på  de  målsætninger  I  har   fastlagt.     De  afvigelser  I  identificerede  i  forbindelse  med  gennemførsel  af  intern/ekstern   audit  af  proceduremæssige/tekniske  kontroller  skal  registreres,  og  der  skal  være   handlingsplaner  for  hvordan  I  håndterer  afvigelser  eller  kritiske  afvigelser.     Giver  resultatet  af  jeres  awareness  programmer  den  ønskede  effekt  og  er  der   anledning  til  at  tage  de  eksisterende  processer  eller  sikringsforanstaltninger  op  til   genovervejelse?     Jeres  sikkerhedsorganisationen  skal  regelmæssigt    levere  input  til  en   ledelsesrapportering.     Input  er  det  grundlag  ledelsen  tager  udgangspunkt  i  når  der  skal  tage  strategiske   beslutninger  og  give  sikkerhedsorganisationen  mandat  til  de  kommende  opgaver   omkring  it-­‐processer  og  sikkerhed.   Plan   Do   Check   Act    
  • 9.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   9                     Act:  Vedligehold  og  forbedr   I  skal  løbende  sørge  for  at  jeres  ISMS  revurderes  og  kvaliteten  af  sikkerhed  måles.  Det  gør   I  blandt  andet  ved  at  inddrage  forskellige  parametre.  Her  er  nogle  eksempler:     Tekniske  security  baselines  eller  overskridelser  af  fastlagte  kriterier  for  CVSS  score   ved  sårbarhedsscanninger.     Afvigelser,  i  forbindelse  med  både  den  interne  og  eksterne  audit,  skal  prioriteres   og  der  skal  udarbejdes  en  handlingsplan  for  hvordan  I  vil  håndtere   observationerne.  Vil  I  acceptere  observationen  eller  udbedre  den?    Det  gælde  både   de  forebyggende  og  korrigerende  handlinger.     Resultaterne  af  jeres  målte  metrikker  eller  Key  Performance  Indicators  i  forhold  til   sikringsforanstaltninger  skal  genovervejes  med  henblik  på  at  tilpasse  disse.  I  kan   eksempelvis  udvælge  specifikke    sikkerhedshændelser  som  I  måler  på,  og  holde   det  op  imod  administrative  udgifter  forbundet  med  håndtering  af  disse   (driftsforstyrrelser,  brud  på  fortrolighed  m.  m.).     Opsummering:  Plan-­‐do-­‐check-­‐act  processen  kort  fortalt   ● Etabler  (plan):  Etablering  af  ISMS  politik,  scope,  mål,  processer  og   procedurer   ● Implementér  (do):  Implementering  og  drift  af  ISMS.   Sikringsforanstaltninger  er  på  plads  og  metrikker  er  defineret.   ● Overvåg  (check):  Auditprogram,  håndtering  af  afvigelser  og   ledelsesrapportering   ● Vedligehold  (act):    Iværksættelse  af  korrigerende  og  forbyggende   handlinger     Plan   Do   Check   Act    
  • 10.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   10     Kom  hurtigt  i  gang   Med  ledelsens  opbakning  til  ISO  27001  projektet,  er  det  næste  skridt  at  få  gennemført  en   egentlig  risikovurdering  for  at  få  afdækket  det  nødvendige  omfang  af  ens   sikringsforanstaltninger.  Der  er  heldigvis  overensstemmelse  mellem  DS  484  og  ISO  27002   sikringsforanstaltningerne,  så  det  I  måske  allerede  har  kan  fint  ”genanvendes.”   I  de  tilfælde,  hvor  der  foreligger  et  krav  om  efterlevelse  af  ISO  27001  skal  I  sikre  at   den  eksisterende  it-­‐sikkerhedsstrategi  dækker  kravene  fra  ISO  27001  afsnit  4-­‐8.     I  bør  gennemgå  den  eksisterende  it-­‐sikkerhedsorganisation,  og  i  det  omfang  det  er   nødvendigt  tilpasse  den  så  den  bliver  gearet  til  proceskravene  i  ISO  27001.     I  skal  identificere  vigtige  aktiver  og  disses  ejerskab.  Typiske  er  det  kritiske   forretningsprocesser,  forretningssystemer  og  it-­‐infrastruktur.       I  skal  gennemføre  en  it-­‐risikovurdering,  så  scopet  for  sikringsforanstaltninger  og   kontroller  bliver  afvejet  op  imod  jeres  reelle  risici.  Det  er  vigtigt  at  jeres  ledelse  er   med  i  beslutningsprocessen  omkring  risikohåndteringen,  da  det  er  dem  der  skal   tage  stilling  til  om  I  skal  acceptere,  undgå,  reducere  eller  dele  risiciene.     Lav  en  forretningskonsekvensvurdering  på  forretningssystemerne  og  gennemfør   en  sårbarhedsvurdering  på  den  underliggende  it-­‐infrastruktur  der  tager   udgangspunkt  i  relevante  trusler.      
  • 11.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   11           It-­‐risikovurderingen  vil  danne  grundlag  for  hvilke  sikkerhedsområder  hvor  I  bør  sætte  ind   med  skærpede  sikringsforanstaltninger.  Det  giver  samtidig  input  til  hvilke   sikringsforanstaltninger  i  tilvælger    eller  udelader  fra  scopet.  Det  er  blandt  andet  derfor   Neupart  har  udviklet  SecureAware.       PLAN   Fastlæg  scope  for  ISMS   Etabler  proces   Ledelsesopbakning   Riskmetodik   DO   Implementer  ISMS   Processer   Politikker     Procedurer   Sikringsforanstaltninger   CHECK   Evaluer  ISMS   Identificer  risici   Mål  performance  af  processer   og  sikringsforanstaltninger   Intern/ekstern  audit   ACT   Optimer  processer   korrigerende/udbedrende   handlinger   Ledelsesunderstøttede     forbedringer   Selvom  I  måske  ikke  planlægger  at  blive  certificeret,  er  det  alligevel  værdifuld  viden   at  indsamle.  SOA’en  kan  fint  fungere  som  et  udgangspunkt  for  jeres  interne   auditplan  og  bør  også  være  del  af  den  plan  som  den  eksterne  it-­‐audit  tager   udgangspunkt  i.  
  • 12.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   12     Risikovurderingen  og  udvælgelsen  af  sikringstiltagene   Afsnit  4-­‐8  i  ISO  27001  er  ufravigelige  og  kan  ikke  scopes  ud  i  en  ”Statement  of   Applicability”  (SOA).  De  afsnit  er  forudsætningen  for  overhovedet  at  have  et  ISMS.   Virksomheder  der  har  benyttet  sig  af  DS  484  strukturen,  vil  kunne  anvende  ISO  27002  da   indholdet  er  identisk.  Der  vil  ligge  en  opgave  i  at  gennemgå  alle  afsnittene  og  tage  stilling   til  hvor  godt  man  ønsker  at  kontrollere  disse  processer.  En  hurtig  måde  at  komme  i  gang   med  SOA’en  på,  er  at  gennemgå  alle  ISO  27002  kontrolområderne  og  vurdere  hvor   relevante  de  er  for  jer.     Out  of  scope  (N/A)     I  scope  –  i  høj  grad     I  scope  –  I  mindre  grad     Det  øjeblikkelige  resultat  af  denne  øvelse  er  input  til  jeres  vurdering  af  de  eksisterende   politikker,  sikringsforanstaltninger  og  procedurer  samt  i  hvilket  omfang  I  bør  tilpasse,   slette  eller  implementere  nye  sikringsforanstaltninger  eller  procedurer.     Niveauet  for  sikringsforanstaltningerne,  hvad  enten  I  benytter  ISO  27002  eller  andre   sikkerhedsstandarder,  er  i  et  vist  omfang  frivilligt.  Har  i  allerede  vurderet  hvilke  områder   jeres  sikkerhedshåndbog  eller  politik  skal  indeholde,  bør  I  holde  jeres  prioriteringer  op   imod  ISO  27002,  for  at  sikre  at  I  ikke  mangler  at  adressere  et  vigtigt  område.   Der  vil  ofte  være  kritiske  processer  der  sjældent  kan  scopes  helt  ud  såsom  Change   Management,  backup  processer  og  beredskabsstyring.  I  nogle  tilfælde  vil  disse  processer   være  outsourcet.  Hvis  vigtige  processer  er  outsourcet  skal  jeres  fokus  ligge  på   leverandørstyringen,  kontrakter,  SLA’er  og  aftalte  metrikker,  således  at  I  sikrer  at   leverandørerne  overholder  jeres  sikkerhedskrav.   ISO  27001  er  under  revidering,  hvad  så?   Den  eksisterende  ISO  27001  standard  er  i  øjeblikket  under  revidering  og  forventes  at  blive   officielt  klar  til  anvendelse  medio  2013  -­‐  primo  2014.  Der  bliver  lagt  op  til  nogle  strukturelle   ændringer  i  de  enkelte  afsnit  og  Plan-­‐Do-­‐Check-­‐Act  får  en  mindre  fremtrædende  rolle.  Der   bliver  ligesom  ved  den  sidste  revision  en  overgangsperiode  på  mellem  1-­‐2  år,  hvor   eksisterende  certificerede  virksomheder  får  mulighed  for  at  tilpasse  deres  ISMS  og  sikre  at   de  overholder  kravene  i  den  nye  standard.   Der  har  i  flere  it-­‐sikkerhedsmedier  været  snak  omkring  nogle  af  ændringerne  i  den  nye   standard  bl.a.  at  Plan-­‐Do-­‐Check-­‐Act  forsvinder  helt.  Det  er  ikke  helt  korrekt  da   elementerne  fortsat  vil  være  en  del  af  standardens  nye  afsnit  omend  mindre  eksplicit  end  i   ISO  27005:2005.    
  • 13.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   13                             De  vigtigste  ændringer  i  det  nuværende  udkast  omfatter  følgende  elementer:   Der  vil  være  en  øget  grad  af  fleksibilitet  i  forhold  til  valg  af  risikometode.  Der   lægges  i  højere  grad  op  til  at  standarden  skal  tilpasse  sig  ISO  31000  standarden   som  omhandler  Enterprise  Risk  Management.     Kravene  i  de  enkelte  ISMS  afsnit  er  præciseret  så  der  bør  være  er  en  mindre  risiko   for  fejltolkning  af  kravene.   Kravene  til  ISMS  konteksten  er  blevet  skærpede  og  kravene  til  identifikation  af   succeskriterier  for  ISMS’et  er  blevet  præciseret.   Der  er  nu  et  krav  om  at  der  i  forbindelse  med  udvælgelsen  af  it-­‐kontroller  (SOA)   samtidigt  foretages  en  beskrivelse  af  succeskriterier  og  proces  for  måling  af   effektiviteten  af  it-­‐kontrollerne  eller  KPI’er  (evaluering  af  performance).     Neupart  vil,  i  forbindelse  med  udgivelsen  af  den  nye  ISO  27001  standard,  udarbejde  en   officiel  vejledning  til  hvordan  virksomheder  nemmest  kan  overgå  fra  den  gamle  ISO  27001   standard  til  den  nye.  Så  når  den  tid  oprinder  skal  vi  også  nok  hjælpe  jer  på  vej.             Kontekst   Lederskab   Planlægning   Support     Drift   Evaluering  af   performance   Forbedringer   PLAN   DO   Check   ACT  
  • 14.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   14     Opsummering   Overgangen  fra  DS  484  til  ISO  27001  behøver  ikke  at  være  en  kompleks  affære.  Faktisk   giver  skiftet  jer  muligheden  for  at  få  ryddet  op  i  jeres  processer  og   sikringsforanstaltninger,  og  dermed  også  reducere  kompleksiteten  af  jeres  politikker  og   sikringsforanstaltninger.   Opsummering  af  de  vigtigste  ting  I  skal  overveje   Jeres  it-­‐sikkerhedsstyring  skal  være  risikobetonet  og  derfor  er  gennemførsel  af  it-­‐ risikovurderinger  en  forudsætning  for  det  videre  arbejde.       Der  er  direkte  match  mellem  sikringsforanstaltningerne  i  DS  484  og  ISO  27002.     Jeres  it-­‐risikovurdering  giver  jer  grundlaget  for  at  kunne  tilvælge  eller  fravælge   sikringsforanstaltninger.     Da  ledelsen  skal  have  en  aktiv  rolle  i  forhold  til  risikobehandling,  sætter  det  også   krav  til    organisationens  modenhed  og  ledelsens  engagement  i  projektet.     I  kan  med  fordel  tage  overgangen  i  etaper  så  I  får  organisationen  med.  Start  med   at  få  identificeret  kritiske  processer  og  systemer  og  lav  en   forretningskonsekvensvurdering  (BIA)  og  trussels/sårbarhedsvurdering  af   underliggende  it-­‐systemer.     Der  er  ingen  grund  til  at  vente  til  den  revideret  udgave  af  ISO  27001  bliver   offentliggjort,  da  der  ikke  grundlæggende  bliver  ændret  ved  standarden.  ISMS   kravene  er  de  samme  selvom  der  bliver  foretaget  et  par  ændringer  til  begreberne.     Neupart  vil  -­‐  når  den  endelig  revision  af  ISO  27001  er  klar  -­‐  udarbejde  en  vejledning  til   skiftet  fra  ISO  27001:2005  til  ISO  27001:2013.    
  • 15.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   15     Erfaringer  fra  en  certificeret  virksomhed   Neupart  A/S  har  været  certificeret  siden  2003.  Først  i  henhold  til  den  britiske  standard   BS7799-­‐2  ,  som  var  forgængeren  til  ISO  27001,  og  siden  2006  i  henhold  til  ISO  27001.  Audit   blev  udført  af  Dansk  Standard  Certificering,  og  certifikaterne  udstedes  for  en  treårig   periode.  Ved  indgangen  til  hver  treårig  periode  udføres  den  store  certificerings  audit.  Efter   et  og  to  år  udføres  et  opfølgningsaudit,  der  er  lidt  mindre  omfattende.   Vi  har  haft  tre  forskellige  ”lead  auditors”  gennem  tiderne.  Checklisten  er  selvfølgelig  altid   ISO  27001,  men  vi  har  oplevet  lidt  forskellige  prioriteter.  Det  vigtigste  er  altid  at  sørge  for   at  ISMS’et  er  levende  og  løbende  vedligeholdt.   Den  er  vigtigt  at  man  passer  på,  over  tid,  ikke  at  lade  ISMS’et  vokse  sig  for  stort  til   formålet.  Det  kan  virke  tillokkende  og  næsten  naturligt  at  reagere  på  en  hændelse  eller  en   ”audit  finding”  med  at  indføre  en  ny  administrativ  regel  eller  procedure.  Med  tiden  giver   det  et  mere  bureaukratisk  ISMS  som  er  vanskeligere  at  vedligeholde.   Jo  flere  regler  og  procedurer,  jo  mere  intern  audit  er  nødvendig,  jo  sværere  er  det  for   organisationen  at  efterleve  disse  regler  og  procedurer.  Det  er  aldrig  godt.  Man  skal   trodsalt  overholde  sine  egne  politikker/regler/procedurer.   Hos  Neupart  voksede  ISMS’et  på  otte  år  til  70  procedurer.  ISMS'et  trængte  til  en   slankekur.  It-­‐sikkerhedschefen  satte  sig  derfor  ned  og  skar  fedtet  væk  så  det  blev  bragt   ned  på  35  procedurer.    
  • 16.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   16                   SecureConsult  fra  Neupart:     Erfarne  it-­‐sikkerhedskonsulenter   Skal  I  etablere  et  ISMS?  Hvordan  udarbejdes  en  “Statement  of  Applicability”?  Skal  den   årlige  risikovurdering  gennemføres?    Skal  beredskabsplanerne  opdateres?    Hvordan  følger   I  op  på  hændelser?  Har  I  aftalt  sikkerhedsansvar  med  jeres  it-­‐leverandører?    Beskyttes   persondata  tilstrækkeligt?     Vil  I  starte  med  en  ISO  27001  gap-­‐analyse?     Der  er  mange  ting  man  skal  overveje  i  forhold  til  it-­‐sikkerhed.  Derfor  stiller  vi  dygtige  og   erfarne  konsulenter  til  rådighed  så  du  kan  få  en  problemfri  it-­‐risikovurdering.   Neupart  har  været  certificeret  siden  2003.  Vores  viden  og  erfaringer  bringer  virksomheder,   institutioner  og  styrelser  sikkert  i  mål  med  ISO  27001-­‐efterlevelse  på  kortere  tid.  Når  I   planlægger  og  udfører  jeres  ISO  27001-­‐aktiviteter  rigtigt,  kan  den  nødvendige   informationssikkerhed  indføres  pragmatisk  og  fleksibelt.  Det  er  Neupart  eksperter  i.  Vi   kalder  vores  konsulentydelser  for  SecureConsult® .   Ring  til  Louise  Bøttner,  Jeppe  Kodahl,  Jakob  Holm  Hansen  eller  Lars  Neupart  på  7025  8030   hvis  du  vil  høre  lidt  mere  om,  hvordan  vi  kan  hjælpe  dig  –  det  er  uforpligtende.  
  • 17.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   17                 Hvad  er  SecureAware  IT-­‐GRC   Brug  mindre  tid  på  it-­‐sikkerhedsledelse  og  få  et  mere  præcist  overblik  over  jeres  sikkerhed.   Skal  I  efterleve  standarder  eller  god  skik  for  informationssikkerhed,  giver  SecureAware  jer   forbedret  effektivitet  og  mulighed  for  nemmere  at  vurdere  hvor  meget  sikkerhed  jeres   forretning  behøver.   Med  SecureAware  behøver  I  ikke  længere  komplekse  regneark  til  risikovurdering  og  I  kan   droppe  lange  sikkerhedshåndbøger  i  et  utal  af  versioner.  SecureAware  giver  jer  en  række   genveje  til  ISO  27001  og  PCI-­‐compliance,  og  I  får  helt  styr  på  tilbagevendende   sikkerhedsopgaver.  Så  kan  I  bruge  mindre  tid  på  sikkerhedsledelse,  eller  I  kan  vælge  at   bruge  jeres  konsulentbudget  til  andre  formål.   SecureAware  kan  bruges  som  en  samlet  IT  GRC-­‐pakke,  eller  som  enkeltvise  moduler.   Læs  mere  og  prøv  gratis  i  30  dage  her:    www.neupart.dk/produkter     Med  SecureAware  får  I:   • ISO  27001  Information  Security   Management  System  (ISMS)   • Plan-­‐Do-­‐Check-­‐Act  håndtering   • It-­‐sikkerhedshåndbøger  -­‐  “policy   management”   • Awareness-­‐kampagner   • Risikovurdering  og   risikohåndtering  jævnfør  ISO   27005   • Compliance  analyser   • Styr  på  sikkerhedsopgaverne   • Beredskabsplanlægning  jævnfør   BS  25999   • Tidsbesparende  skabeloner   • PCI  DSS  compliance   • Cloud-­‐leverandør  analyser   • API’er  til  dataudveksling   • Leveres  som  SaaS  eller   traditionel  software   • Smart  upgrade  giver  nem   adgang  til  nye  funktioner  og   indhold   • Support  for  en  række   anerkendte  SQL-­‐databaser   • MS  Active  Directory  support   med  brugere  og  grupper  
  • 18.   Fra  DS  484  til  ISO  27001              ©  2013  Neupart  A/S   18             Neupart  hjælper  virksomheder  med  it-­‐risikostyring  og  med  at  leve  op  til  sikkerhedskrav.   Også  i  skyen!  Neupart  er  forskellig  fra  de  traditionelle  konsulenthuse,  fordi  vores   egenudviklede  IT  GRC-­‐løsning,  SecureAware,  sparer  virksomheders  tid  og  kræver  færre   konsulenttimer.  Neupart  er  specialist  i  ISO  27001,  DS  484-­‐,  Cobit,  PCI  og  cloud-­‐sikkerhed.   Med  mere  end  200  private  og  offentlige  virksomheder  som  kunder  er  Neupart  den   førende  IT  GRC-­‐leverandør.  Neupart  er  ISO  27001-­‐certificeret.   Neupart  A/S     Hollandsvej  12   DK-­‐2800  Lyngby   T:  +45  7025  8030   www.neupart.dk