Blog om informationssikkerhed, GDPR og compliance

Tips og erfaringer med it-sikkerhedshåndbøger og -politikker - Ny vs gammel ISO 27002

[fa icon="calendar"] 3. juni 2014 / af Jakob Holm Hansen

Nu har jeg arbejdet med informationssikkerhed i en del år og har set mange forskellige politikker, regler, procedurer, forretningsgange, og andre former for dokumentation på sikkerhedsområdet. Det der virker bedst er, at have en klar, veldefineret opdeling, fx:
  1. Politik: Vores ambitionsniveau og mål, hvad vil vi, hvem er omfattet. Bør være kort, gerne højst en side.
  2. Regler:  Hvad gør vi, hvad gør vi ikke, hvad vi må og ikke må. Reglerne skal være præcise i forhold til, hvem der skal udføre de forskellige aktiviteter.
  3. Procedurer: Sådan-gør-vi-dokumenter.
Jeg vil koncentrere resten af dette indlæg om regel-dokumentet, som har det med at blive (for) langt for en del virksomheder. Et godt råd er derfor at lave målgruppeopdeling, så en bruger kun behøver at læse de regler, der har relevans i forhold til hendes/hans job. Nogle virksomheder skriver og trykker en slutbruger-venlig folder, nogle gange kaldet en pixi-bog om informationssikkerhed.
 
Og så er der det med strukturen, altså hvilke afsnit skal regel-dokumentet indeholde? Der er modstridende ønsker fra brugere, der har behov for beskrivende overskrifter i en for dem logisk rækkefølge, og fra jer der mere direkte arbejder med virksomhedens informationssikkerhed. Den sidste gruppe har i årevis foretrukket at se deres regler struktureret efter enten den udgående Danske Standard DS 484 eller den forrige ISO 27002 fra 2005. Det er bekvemt for sikkerhedsafdelingen eller it-afdelingen, fordi standarderne er et udtryk for "best practice" og så er det nemt at se, om man har alt det med, man ønsker. Det sker lidt på bekostning af brugervenligheden, men ok, det kan delvist håndteres med pixi-bogen som tillæg til det egentlige regeldokument.

Som bekendt er ISO 27002 blevet opdateret for godt et halvt år siden. Spørgsmålet er derfor, om reglerne i jeres it-sikkerhedshåndbog nu skal skifte struktur til den nye udgave? 2013-udgaven minder meget om 2005-versionen, men en del afsnit er flyttet rundt, noget er udgået og nyt er kommet til. Så afsnitsnummerering selv på øverste niveau er ændret. Standarden beskriver som bekendt nogle sikkerhedstiltag (controls) med en tredelt nummerering. Eksempelvis er control nr. 8.1.1 i 2005 udgaven ikke det samme som control nr. 8.1.1 i den nye udgave.

Svaret på om I skal skifte er et klart "ja". I skal selvfølgelig holde jeres informations-sikkerhed ajour og det er ikke effektivt, ej heller god skik, at følge udgåede standarder for informationssikkerhed.

Har du erfaringer eller holdninger til den gode, effektive it-sikkerhedshåndbog? Del og kommenter gerne nedenfor.

Om vores GRC blog

Vores GRC blog giver gode råd og viden om effektiv styring af governance, risk og compliance. Vi fokuserer på at tale primært om informationssikkerhed og databeskyttelse. Standarderne er oftest ISO 27001/2, GDPR, NIS2, DORA og TISAX.

Populære indlæg