Fremtiden	  for	  standardiseret	  informationssikkerhed?	  Lars	  Neupart	  	  S,-er	  &	  direktør	  Neupart	  A/S	  LN@...
Nyheder	  på	  vej	  i	  ISO	  27001	  -­‐serien	  ISO	  27000	  • Overview	  and	  vocabulary	  ISO	  27001	  • Informa,o...
Fremtidens	  standard	  er	  baseret	  på	  risiko-­‐styring	  	  	  Allerede	  i	  første	  krav	  i	  den	  ny	  ISO	  2...
Alle	  formelle	  krav	  og	  anbefalinger	  om	  DS	  484	  er	  udfaset	  DS	  484	  •  2005	  •  Dansk	  norm	  •  Chec...
Så	  hvad	  er	  nyt	  i	  ISO	  27001	  udkastet?	  •  En	  masse!	  •  Nyt	  indhold	  •  Nye	  numre	  på	  krav	  •  D...
Virksomheden	  skal	  have	  en	  proces	  til	  at	  håndtere	  risici	  
Mere	  frihed	  i	  dit	  valg	  af	  risikometode	  Krav	  til	  process:	  1.  Kriterier	  for	  risiko,	  også	  for	  ...
Enterprise	  Risk	  Management	  • 	  (ISO	  31000)	  Informa,on	  Security	  Risk	  Management	  • 	  (ISO	  27005)	  ISM...
Risiko-­‐ejer	  •  Godkender	  handlingsplaner	  for	  risikohåndtering	  og	  accepterer/afviser	  risici	  •  Bemærk:	  ...
Risikohåndtering	  Accepter	   Reducér	  Del	   Undgå	  Risk	  Treatment	  =	  Risikohåndtering	  Valgmuligheder	  jævnfør...
SoA	  hænger	  tættere	  sammen	  med	  riskokohåndtering	  Risikohåndtering	  SoA	  =	  Statement	  of	  Applicability	  ...
Hvad	  skete	  der	  lige	  med	  PDCA?	  Plan	  -­‐	  Do	  –	  Check	  –	  Act	  	  er	  der	  stadig	  –	  nu	  kaldes	 ...
Risikostyring	  =	  Risikovurdering	  +	  Risikohåndtering	  •  Risikoejer	  	  •  (Aktiver)	  •  Trusler	  •  Business	  ...
Afstemning	  på	  Neupart	  webinar	  
Lær	  mere	  •  Webinarer	  og	  seminarer	  om	  it-­‐risikostyring	  og	  ISO	  27001	  compliance.	  Gratis	  deltagels...
Om	  Neupart	  •  Neupart	  hjælper	  virksomheder	  med	  it-­‐risikostyring	  og	  med	  at	  leve	  op	  til	  sikkerhe...
Spørgsmål	  og	  svar	  •  Til	  John	  Bonnerup	  eller	  Lars	  Neupart’s	  indlæg?	  
Upcoming SlideShare
Loading in …5
×

Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22

549 views

Published on

  • Be the first to comment

  • Be the first to like this

Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22

  1. 1. Fremtiden  for  standardiseret  informationssikkerhed?  Lars  Neupart    S,-er  &  direktør  Neupart  A/S  LN@neupart.com  twi<er  @neupart    
  2. 2. Nyheder  på  vej  i  ISO  27001  -­‐serien  ISO  27000  • Overview  and  vocabulary  ISO  27001  • Informa,on  Security  Management  Systems  –  Requirements  ISO  27002  • Code  of  prac,ce  for  informa,on  security  management  ISO  27003    • ISMS  Implementa,on  Guidelines  ISO  27004  • Informa,on  Security  Management  -­‐  Measurement    ISO  27005  • Informa,on  Security  Risk  Management  ISO  27006  • Requirements  for  bodies  providing  audit  and  cer,fica,on    +  +  +  +    
  3. 3. Fremtidens  standard  er  baseret  på  risiko-­‐styring      Allerede  i  første  krav  i  den  ny  ISO  27001  refereres  til  ISO  31000,  standard  for  Enterprise  Risk  Management  
  4. 4. Alle  formelle  krav  og  anbefalinger  om  DS  484  er  udfaset  DS  484  •  2005  •  Dansk  norm  •  Checkliste-­‐sikkerhed  •  Opera,onelle  krav  •  “One  size  fits  all”  ISO  27001  •  2013  •  Interna,onal  Standard  •  Risikobaseret  •  Krav  ,l  ledelsessystem  •  Tilpasses  virksomheden  
  5. 5. Så  hvad  er  nyt  i  ISO  27001  udkastet?  •  En  masse!  •  Nyt  indhold  •  Nye  numre  på  krav  •  Den  er  stadig  kort:  9  sider  med  krav  til  et  ”ISMS”  •  Konkrete  tiltag  (”controls”)  finder  du  stadig  i  Annex  A,  som  refererer  til  ISO  27002  (den  ny)  •  Den  er  rimeligt  bagud-­‐kompatibel  
  6. 6. Virksomheden  skal  have  en  proces  til  at  håndtere  risici  
  7. 7. Mere  frihed  i  dit  valg  af  risikometode  Krav  til  process:  1.  Kriterier  for  risiko,  også  for  risikoappetit  2.  Risikovurderinger  3.  Fortløbende,  konsistent  proces,  der  sikrer  sammenlignelige  og  korrekte  resultater  (afsnit  6.1  )    
  8. 8. Enterprise  Risk  Management  •   (ISO  31000)  Informa,on  Security  Risk  Management  •   (ISO  27005)  ISMS  Requirements  •   (ISO  27001)    Bedre  sammenhæng  
  9. 9. Risiko-­‐ejer  •  Godkender  handlingsplaner  for  risikohåndtering  og  accepterer/afviser  risici  •  Bemærk:  Aktiv-­‐ejerskab  er  ikke  længere  et  formelt  27001-­‐krav,  men  findes  som  ”control”  i  Annex  A    
  10. 10. Risikohåndtering  Accepter   Reducér  Del   Undgå  Risk  Treatment  =  Risikohåndtering  Valgmuligheder  jævnfør  ISO  27001:2005  og  ISO  27005.  ISO  27001:2013  kræver  ikke  4  former.  Men  krav,  at  der  er  en  process.  I  kan  fx  vælge  disse  4  ,l  jeres  proces.  
  11. 11. SoA  hænger  tættere  sammen  med  riskokohåndtering  Risikohåndtering  SoA  =  Statement  of  Applicability  •  Vælg  behandlingsform  •  Vælg  tiltag  (controls)  •  Check  Annex  A  for  om  nødvendige  tiltag  er  med  •  Begrund  fravalg  OG  tilvalg  (nyhed)  
  12. 12. Hvad  skete  der  lige  med  PDCA?  Plan  -­‐  Do  –  Check  –  Act    er  der  stadig  –  nu  kaldes  det  ”continual  improvement”.  
  13. 13. Risikostyring  =  Risikovurdering  +  Risikohåndtering  •  Risikoejer    •  (Aktiver)  •  Trusler  •  Business  Impact  Assessment  •  Sårbarhedsvurdering  •  Rapportering  og  evaluering  •  Håndtering:  Acceptér,  Reducér,  Del  eller  Undgå  
  14. 14. Afstemning  på  Neupart  webinar  
  15. 15. Lær  mere  •  Webinarer  og  seminarer  om  it-­‐risikostyring  og  ISO  27001  compliance.  Gratis  deltagelse.  •  http://www.neupart.dk/arrangementer    •  On-­‐demand  adgang  til  optagede  sessioner  om  den  ny  ISO  27001  og  IT  Risk  Management  •  http://www.neupart.dk/arrangementer/webcasts    
  16. 16. Om  Neupart  •  Neupart  hjælper  virksomheder  med  it-­‐risikostyring  og  med  at  leve  op  til  sikkerhedskrav.  Også  i  skyen!  •  Neupart  er  forskellig  fra  de  traditionelle  konsulenthuse,  fordi  vores  egenudviklede  IT  GRC-­‐løsning,  SecureAware,  sparer  virksomheders  tid  og  kræver  færre  konsulenttimer.  •  200  kunder  primært  i  Danmark,  Norge,  Tyskland    •  ISO27001-­‐certificeret  –  Første  it-­‐sikkerhedsleverandør  i  DK.  –  Certificeret  siden  2003  (BS7799  /  ISO  27001)  
  17. 17. Spørgsmål  og  svar  •  Til  John  Bonnerup  eller  Lars  Neupart’s  indlæg?  

×