Blog om informationssikkerhed, GDPR og compliance

DS 484 er død. Her er de vigtige forskelle fra DS 484 til ISO 27001

[fa icon="calendar"] 5. november 2014 / af Jakob Holm Hansen

Det er en misforståelse at tro at hvis man har kørt et DS484-projekt (den nu udgåede danske standard for informationssikkerhed) så har man styr på sin informationssikkerhed. Det betyder nemlig blot at man på et tidpunkt har indført den checkliste-sikkerhed som den gamle standard krævede. I dag ved man at tilstrækkeligt sikkerhed kun kan fås ved at virksomheden indfører processer det sikrer at der løbende gennemføres en række aktiviteter heriblandt:
  1. Risikovurdering i regelmæssige intervaller og efter behov
  2. Løbende opfølgning på risikovurderingerne, herunder stillingtagen og eventuel ændring af de tiltag man indfører (se evt Neuparts skydeskive)
  3. Regelmæssige målinger (metrikker) af om sikkerheden er god nok
  4. Intern audit dvs en egen-kontrol af om sikkerhedspolitik og regler følges og om valgte tiltag virker efter hensigten
  5. Ledelsens løbende stillingtagen til sikkerhedsniveauet.
  6. Løbende forbedringer, justeringer eller ændringer.
Nøgleord i ISO 27001 er netop processer og løbende forbedringer - uden disse kan man som virksomhed ikke sige, at man har styr på informationssikkerheden. 

Om vores GRC blog

Vores GRC blog giver gode råd og viden om effektiv styring af governance, risk og compliance. Vi fokuserer på at tale primært om informationssikkerhed og databeskyttelse. Standarderne er oftest ISO 27001/2, GDPR, NIS2, DORA og TISAX.

Populære indlæg