ISO IEC 27000

glass,bygninger,med,skyet,blått,himmel,bakgrunn

ISO/IEC 27000 Oversikt og ordliste Anbefalt lesing

Datainnbrudd er en av de alvorligste truslene mot en organisasjons informasjonssikkerhet. Sensitive data siver gjennom nesten alle forretningsprosesser i disse dager.

Hver måned oppstår tusenvis av hendelser, der for eksempel nettangripere bryter seg inn i en database eller arbeidere mister eller misbruker detaljer. Uansett hvor dataene lagres, kan de økonomiske og omdømmemessige konsekvensene av et brudd være alvorlige. Som et resultat legger virksomheter gradvis inn ressurser i sine sikringer, med ISO 27001 fungerer som en sjekkliste for effektiv sikkerhet. ISO 27001 gjelder for organisasjoner av enhver skala og på tvers av alle bransjer, og rammeverkets omfang sikrer at implementeringen ofte er proporsjonal med størrelsen på organisasjonen.

Gå til emnet

Hva er ISO 27000-serien med standarder?

ISO/IEC 27000-familien av standarder, også kjent som ISMS-familien av standarder eller, enklere, ISO27K, dekker et bredt spekter av informasjonssikkerhetsstandarder utgitt av både den internasjonale organisasjonen for standardisering og den internasjonale elektrotekniske kommisjonen. ISO 27000 anbefaler beste praksis – beste praksis for å håndtere informasjonsrisiko ved å implementere sikkerhetskontroller – innenfor rammen av en overordnet Informasjonssikkerhetsstyringssystem (ISMS).

Det ligner veldig på standard styringssystemer som for kvalitetssikring og miljøvern. ISO/IEC utvidet med vilje omfanget av ISO 27000-serien slik at den også dekker sikkerhet, personvern og IT-spørsmål. organisasjoner i alle former og størrelser kan dra nytte av det.

Informasjonssikkerhetskontrollene bør skreddersys til behovene til hver organisasjon slik at de kan behandle risikoene slik de finner hensiktsmessig.

Organisasjoner bør stole på sikkerhetsveiledning og forslag når det er hensiktsmessig. Siden informasjonssikkerhet og risikostyring er dynamiske disipliner, inkluderer ISMS-konseptet kontinuerlig tilbakemelding og forbedringer for å svare på endringer i trusler eller sårbarheter som oppsto som et resultat av hendelser. Informasjonssikkerhetseksperter foreslår at overholdelse av ISO 27000-serien er det første skrittet mot et informasjonssikkerhetsprogram som vil beskytte organisasjonen din på riktig måte.

Standardene er imidlertid ikke spesifikke for noen bransje, og dette gjør at de kan brukes i enhver virksomhet, uavhengig av størrelse og bransje. Standardisering er et produkt av ISO/IEC JTC1 SC27, et internasjonalt organ som møtes formelt to ganger i året.

Godkjent av over 1,000 selskaper over hele verden

Historien om ISO 27000-serien med standarder

Tallrike enkeltpersoner og organisasjoner støtter utviklingen og vedlikeholdet av ISO27K-standardene.

ISO/IEC 17799:2000 var den første standarden i denne serien; det var en rask revisjon av gjeldende britiske standard BS 7799 del 1:1999. Den første publiseringen av BS 7799 var delvis basert på et rammeverk for styring av informasjonssikkerhet utviklet av Royal Dutch/Shell Group.

I 1993 ga Storbritannias daværende handels- og industridepartement en komité i oppdrag å gjennomføre en undersøkelse av gjeldende informasjonsteknologipraksis med den hensikt å lage en standardveiledning. BSI Group ga ut den første utgaven av BS 7799 i 1995.

Den første delen av BS 7799, som handlet om informasjonsteknologiens beste praksis, ble integrert i ISO 17799 og ble lagt til ISO 27000-listen i 2000.

Den andre delen, med tittelen "Informasjonssikkerhetsstyringssystemer – spesifikasjoner og veiledning for bruk," ble ISO 27001 og dekket innføringen av et styringssystem for informasjonssikkerhet.

Akkurat som ISO 9000-serien, som er kjent for kvalitet, er ISO 27000 en valgfri sertifisering som kan brukes til å demonstrere at en organisasjon har en viss grad av informasjonssikkerhetsbevissthet.

ISMS.online gjør det så enkelt som mulig å sette opp og administrere ISMS.

Peter Risdon
CISO, Viital

Bestill demoen din

Vi begynte å bruke regneark, og det var et mareritt. Med ISMS.online-løsningen ble alt det harde arbeidet gjort enkelt.
Perry Bowles
Teknisk direktør ZIPTECH
100 % av brukerne våre består sertifiseringen første gang
Bestill demoen din

Publisert ISO 27000-standarder

ISO har offisielt utpekt ISO 27000-settet med standarder for informasjonssikkerhetsformål. Dette tilsvarer selvfølgelig en rekke andre standarder, inkludert ISO 9000 (kvalitetsstyring) og ISO 14000 (miljøstyring). 27000-serien omfatter en rekke standarder og dokumenter. Flere av disse er nå velkjente, etter å ha blitt publisert.

Følgende er ISO 27000-seriens standarder som allerede er publisert og vedtatt av organisasjoner:

Publisert ISO 27000-standarder

  • ISO / IEC 27000 — Styringssystemer for informasjonssikkerhet.
  • ISO / IEC 27001 – Informasjonsteknologi – Sikkerhetsteknikker – Informasjonssikkerhetsstyring.
  • ISO / IEC 27002 — Retningslinjer for informasjonssikkerhetskontroller.
  • ISO / IEC 27003 — Veiledning for implementering av informasjonssikkerhetsstyringssystem
  • ISO / IEC 27004 — Informasjonssikkerhetsstyring — Overvåking, måling, analyse og evaluering.
  • ISO / IEC 27005 — Risikostyring for informasjonssikkerhet.
  • ISO / IEC 27006 — Krav til organer som leverer revisjon og sertifisering av styringssystemer for informasjonssikkerhet.
  • ISO / IEC 27007 — Retningslinjer for revisjon av styringssystemer for informasjonssikkerhet.
  • ISO/IEC TR 27008 — Veiledning for revisorer om ISMS-kontroller.
  • ISO / IEC 27009 — Internt dokument for komiteen som utvikler sektor-/bransjespesifikke versjoner eller implementeringsretningslinjer for ISO27K-standardene.
  • ISO / IEC 27010 — Informasjonssikkerhetsstyring for intersektoriell og interorganisatorisk kommunikasjon.
  • ISO / IEC 27011 — Retningslinjer for styring av informasjonssikkerhet for telekommunikasjonsorganisasjoner basert på ISO/IEC 27002.
  • ISO / IEC 27013 — Retningslinje for integrert implementering av ISO/IEC 27001 og ISO/IEC 20000-1.
  • ISO / IEC 27014 — Styring av informasjonssikkerhet.
  • ISO/IEC TR 27015 — Retningslinjer for styring av informasjonssikkerhet for finansielle tjenester.
  • ISO/IEC TR 27016 — informasjonssikkerhetsøkonomi.
  • ISO / IEC 27017 — Retningslinjer for informasjonssikkerhetskontroller basert på ISO/IEC 27002 for skytjenester.
  • ISO / IEC 27018 — Retningslinjer for beskyttelse av personlig identifiserbar informasjon (PII) i offentlige skyer som fungerer som PII-behandlere.
  • ISO / IEC 27019 — Informasjonssikkerhet for prosesskontroll i energibransjen.
  • ISO / IEC 27021 — Kompetansekrav til fagfolk i styringssystemer for informasjonssikkerhet.
  • ISO/IEC TS 27022 – Veiledning om prosesser for styringssystem for informasjonssikkerhet – Under utvikling.
  • ISO/IEC TR 27023 — Kartlegging av de reviderte utgavene av ISO/IEC 27001 og ISO/IEC 27002.
  • ISO / IEC 27031 — Retningslinjer for informasjons- og kommunikasjonsteknologisk beredskap for forretningskontinuitet.
  • ISO / IEC 27032 — Retningslinje for cybersikkerhet.
  • ISO / IEC 27033 — IT-nettverkssikkerhet.
  • ISO / IEC 27033-1 — Nettverkssikkerhet – Del 1: Oversikt og konsepter.
  • ISO / IEC 27033-2 — Nettverkssikkerhet – Del 2: Retningslinjer for utforming og implementering av nettverkssikkerhet.
  • ISO / IEC 27033-3 – Nettverkssikkerhet – Del 3: Referansenettverksscenarier – Trusler, designteknikker og kontrollproblemer.
  • ISO / IEC 27033-4 — Nettverkssikkerhet – Del 4: Sikring av kommunikasjon mellom nettverk ved hjelp av sikkerhetsporter.
  • ISO / IEC 27033-5 — Nettverkssikkerhet – Del 5: Sikring av kommunikasjon på tvers av nettverk ved hjelp av virtuelle private nettverk (VPN).
  • ISO / IEC 27033-6 — Nettverkssikkerhet – Del 6: Sikring av trådløs IP-nettverkstilgang.
  • ISO / IEC 27034-1 — Applikasjonssikkerhet – Del 1: Retningslinje for applikasjonssikkerhet.
  • ISO / IEC 27034-2 — Applikasjonssikkerhet – Del 2: organisasjonens normative rammeverk.
  • ISO / IEC 27034-3 — Applikasjonssikkerhet – Del 3: Applikasjonssikkerhetsadministrasjonsprosess.
  • ISO / IEC 27034-4 – Applikasjonssikkerhet – Del 4: Validering og verifisering – Under utvikling.
  • ISO / IEC 27034-5 — Applikasjonssikkerhet — Del 5: Protokoller og applikasjonssikkerhet kontrollerer datastrukturen.
  • ISO/IEC 27034-5-1 — Applikasjonssikkerhet — Del 5-1: Protokoller og applikasjonssikkerhet kontrollerer datastruktur, XML-skjemaer.
  • ISO / IEC 27034-6 — Applikasjonssikkerhet – Del 6: Kasusstudier.
  • ISO / IEC 27034-7 — Applikasjonssikkerhet — Del 7: Assurance prediksjonsrammeverk.
  • ISO / IEC 27035-1 – Håndtering av informasjonssikkerhetshendelser – Del 1: Prinsipper for hendelseshåndtering.
  • ISO / IEC 27035-2 — Håndtering av informasjonssikkerhetshendelser – Del 2: Retningslinjer for å planlegge og forberede hendelsesrespons.
  • ISO / IEC 27035-3 — Håndtering av informasjonssikkerhetshendelser — Del 3: Retningslinjer for IKT-hendelsesresponsoperasjoner.
  • ISO / IEC 27035-4 – Håndtering av informasjonssikkerhetshendelser – Del 4: Koordinering – Under utvikling.
  • ISO / IEC 27036-1 — Informasjonssikkerhet for leverandørforhold – Del 1: Oversikt og konsepter.
  • ISO / IEC 27036-2 — Informasjonssikkerhet for leverandørforhold – Del 2: Krav.
  • ISO / IEC 27036-3 — Informasjonssikkerhet for leverandørforhold – Del 3: Retningslinjer for informasjons- og kommunikasjonsteknologis forsyningskjedesikkerhet.
  • ISO / IEC 27036-4 — Informasjonssikkerhet for leverandørforhold – Del 4: Retningslinjer for sikkerhet av skytjenester.
  • ISO / IEC 27037 — Retningslinjer for identifisering, innsamling, innhenting og bevaring av digitale bevis.
  • ISO / IEC 27038 — Spesifikasjon for digital redaksjon på digitale dokumenter.
  • ISO / IEC 27039 — Forebygging av inntrenging.
  • ISO / IEC 27040 — Lagringssikkerhet.
  • ISO / IEC 27041 — Etterforskningssikkerhet.
  • ISO / IEC 27042 — Analysere digitale bevis.
  • ISO / IEC 27043 — Hendelsesetterforskning.
  • ISO / IEC 27050-1 — Elektronisk oppdagelse – Del 1: Oversikt og konsepter.
  • ISO / IEC 27050-2 — Elektronisk oppdagelse – Del 2: Veiledning for styring og styring av elektronisk oppdagelse.
  • ISO / IEC 27050-3 — Elektronisk oppdagelse – Del 3: Retningslinjer for elektronisk oppdagelse.
  • ISO / IEC 27701 – Informasjonsteknologi – Sikkerhetsteknikker – Styringssystemer for informasjonssikkerhet – Privacy Information Management System (PIMS).
  • ISO 27799 — Informasjonssikkerhetsstyring i helse ved hjelp av ISO/IEC 27002 – veileder helseorganisasjoner om hvordan de kan beskytte personlig helseinformasjon ved hjelp av ISO/IEC 27002.
Se vår enkle, kraftige plattform i aksjon
Finn ut mer

Hvorfor implementere ISO 27000-seriens standard?

Å følge ISO 27000-seriens standarder har en rekke fordelaktige fordeler. Til å begynne med gjør det en organisasjon i stand til å beskytte virksomhetskritiske data samtidig som den beskytter ansatte og kundeinformasjon.

Dette vil bidra til å skape større tillit til virksomheten din blant kunder og ansatte, forbedre bildet ditt betydelig og forhåpentligvis redusere enhver negativ innvirkning på publikums oppfatning av din pålitelighet. ISO 27000-sertifisering er den typen initiativ som gir en enestående avkastning på investeringen, og manifesterer seg både i å øke offentlig oppfatning av merkevaren og i selskapets interne organisasjon. I alle scenarier fører fordelene til reduserte kostnader og en sterkere markedsposisjon.

Dette er spesielt tydelig i virksomheter som må overholde standarder for datasikkerhet, konfidensialitet og styring av informasjonsteknologi, for eksempel innen finansnæringen eller helsevesenet.

Tross alt vil ISO 27000 gi metoder for mer effektiv informasjonssikkerhetsstyring. Det er viktig å merke seg at selv om ISO 27000-settet med standarder er veldefinert, er det et dynamisk dokument som kan revideres etter hvert som ny teknologi og utfordringer dukker opp.

Ved å følge disse nye standardene og sikre at du fortsatt er oppdatert med ISO 27000, uavhengig av markedet du opererer i, vil du alltid beskytte organisasjonens mest konfidensielle data og skape tillit blant kunder og ansatte.

Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.

Peter Risdon
CISO, Viital

Bestill demoen din

ISO 27000 sertifiseringsprosess

Å oppnå ISO 27000-sertifisering trenger ikke å være vanskelig eller kostbart. Det vil trenge tid, engasjement og hjelp fra toppledelsen(e). I tillegg må du være oppmerksom på detaljer og vedlikeholde korrekt papirarbeid og skjemaer. Følgende er vanlige trinn for ISO-implementering og -sertifisering.

Hvilke selskaper kan bli ISO 27000-sertifisert?

Organisasjoner av alle størrelser og bransjer kan implementere prosedyrer og teknikker for å oppnå ISO 27000-sertifisering.

Uavhengig av størrelse eller bransje, er det en følelse av prestasjon forbundet med implementering og sertifisering av ISO 27000.

Sertifisering etablerer tillit og skaper et positivt bilde av troverdighet. I tillegg er ISO 27000 svært kompatibel med ISO 9000, noe som øker effektiviteten og sikkerheten til interne prosesser.

Hvordan hjelper ISMS.online med ISO 27000-sertifisering?

ISMS.online forenkler ISO 27000-sertifiseringsprosessen ved å tilby et robust skybasert rammeverk for å dokumentere ISMS-prosesser og sjekklister for å sikre samsvar med aksepterte retningslinjer. Vår skybaserte programvare lar deg administrere alle dine ISMS-tjenester på et sentralisert sted. Du kan bruke vårt brukervennlige verktøy til å registrere alt som er nødvendig for å demonstrere samsvar med ISO 2K7-standarder.

Vi har et internt team av IT-eksperter som vil gi råd og hjelpe deg slik at du kan vise ditt engasjement for informasjonssikkerhet. Kontakt ISMS.online på + 44 (0) 1273 041140 for å lære mer om hvordan vi kan hjelpe deg med å nå dine ISO 2K7-mål.

Se plattformfunksjonene våre i aksjon

En skreddersydd praktisk økt basert på dine behov og mål

Bestill demoen din

Den velprøvde veien til ISO 27001 suksess

Bygget med alt du trenger for å lykkes med letthet, og klar til bruk rett ut av esken – ingen opplæring kreves!
Policy

Perfekte retningslinjer og kontroller

Samarbeid, lag og vis at du er på toppen av dokumentasjonen til enhver tid

Finn ut mer
risikostyring

Enkel risikostyring

Håndter trusler og muligheter uanstrengt og rapporter dynamisk om ytelse

Finn ut mer
Rapportering

Måling og automatisert rapportering

Ta bedre beslutninger og vis at du har kontroll med dashboards, KPIer og relatert rapportering

Finn ut mer
Revisjoner

Revisjoner, handlinger og anmeldelser

Gjør lett arbeid med korrigerende handlinger, forbedringer, revisjoner og ledelsesgjennomganger

Finn ut mer
Linking

Kart- og koblingsarbeid

Skyn et lys på kritiske relasjoner og koble elegant sammen områder som eiendeler, risiko, kontroller og leverandører

Finn ut mer
Eiendeler

Enkel Asset Management

Velg eiendeler fra Asset Bank og lag din Asset Inventory med letthet

Finn ut mer
Sømløs integrering

Rask, sømløs integrasjon

Ut av esken integrasjoner med dine andre viktige forretningssystemer for å forenkle overholdelse

Finn ut mer
Standarder-Forskrifter

Andre standarder og forskrifter

Legg til andre områder av samsvar som påvirker organisasjonen din for å oppnå enda mer

Finn ut mer
Samsvar

Overholdelsesforsikring for ansatte

Engasjer ansatte, leverandører og andre med dynamisk ende-til-ende-overholdelse til enhver tid

Finn ut mer
Forsyningskjede

Supply Chain Management

Administrer due diligence, kontrakter, kontakter og relasjoner over deres livssyklus

Finn ut mer
Interesserte parter

Interessentledelse

Kartlegg og administrer interesserte parter visuelt for å sikre at deres behov blir klart adressert

Finn ut mer
Privatliv

Sterkt personvern og sikkerhet

Sterkt design av personvern og sikkerhetskontroller for å matche dine behov og forventninger

Finn ut mer
 

Hva slags hjelp trenger du fra oss?

Ny på informasjonssikkerhet?

Vi har alt du trenger for å designe, bygge og implementere ditt første ISMS.

Finn ut mer

Klar til å transformere ISMS?

Vi hjelper deg med å få mer ut av infosec-arbeidet du allerede har gjort.

Finn ut mer

Vil du slippe løs infosec-ekspertisen din?

Med vår plattform kan du bygge ISMS-en din organisasjon virkelig trenger.

Finn ut mer

100 % av brukerne våre oppnår ISO 27001-sertifisering første gang

Start reisen din i dag
Se hvordan vi kan hjelpe deg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer