Fördelar med standardisering
Standarder är centrala i ett systematiskt informationssäkerhetsarbete. De anger krav och riktlinjer som är användbara för alla typer av organisationer. Verksamheter får möjligheter att arbeta utifrån beprövade erfarenheter och då enklare skapa förutsättningar för bättre säkerhet. Standarder har många fördelar, bland annat ökar användningen av standarder transparensen mellan organisationer, vilket underlättar kravställning och bedömning av säkerhetsnivåer i produkter, system och hela verksamheter. Läs mer om standarder och deras användningsområden på www.sis.se.
Av nedan nämnda standarder har särskilt ISO 27000-serien legat till grund för processkartan.
SS-ISO/IEC 27000 Ledningssystem för informationssäkerhet – Översikt och terminologi
ISO 27000-serien ger ett strukturerat och effektivt arbetssätt för verksamheter som strävar efter förbättrad intern kontroll över informationssäkerheten. SS-ISO/IEC 27000 ger en överblick över tillhörande standarder, definierar relevanta termer samt introducerar PDCA (Plan-Do-Check-Act) cykeln.
SS-ISO/IEC 27001 Ledningssystem för informationssäkerhet – Krav
SS-ISO/IEC 27001 anger de åtgärder och krav en verksamhet bör följa för att införa ett ledningssystem inom informationssäkerhet. Man får veta hur man:
- Upprättar policy, mål, processer och rutiner som är relevanta för riskhantering och förbättring av informationssäkerhet.
- Inför och driver policy, åtgärder och rutiner
- Följer upp, övervakar och granskar
- Underhåller och ständigt förbättrar
SS-ISO/IEC 27002 Riktlinjer för styrning av informationssäkerhet
SS-ISO/IEC 27002 (tidigare SS-ISO/IEC 17799) hjälper verksamheter att införa de krav som anges i SS-ISO/IEC 27001. Standarden anger riktlinjer och allmänna principer för att initiera, införa, bibehålla och förbättra styrningen av informationssäkerhet i en organisation.
SS-ISO/IEC 27003 Vägledning för införande av ledningssystem för informationssäkerhet
För införande av Ledningssystem för informationssäkerhet (LIS) rekommenderas standarden SS-ISO/IEC 27003. Standarden fokuserar på de kritiska aspekter som är nödvändiga för framgångsrik utformning och införande av ett ledningssystem för informationssäkerhet i enlighet med SS-ISO/IEC 27001. Den beskriver processen för specificering och utformning av ledningssystemet från inledningen till produktion av införandeplaner samt processen för att erhålla ledningens godkännande, definierar ett projekt för införande och ger riktlinjer för hur projektet bör planeras.
SS-ISO/IEC 27004 Vägledning för mätning av informationssäkerhet
SS-ISO/IEC 27004 ger vägledning om utvecklingen och användningen av mätningar för att bedöma effekten av införandes av ett ledningssystem för informationssäkerhet samt skyddsåtgärderna enligt SS-ISO/IEC 27001.
SS-ISO/IEC 27005 Riskhantering för informationssäkerhet
SS-ISO/IEC 27005 innehåller riktlinjer för hantering av informationssäkerhetsrisker. Standarden stödjer de allmänna koncept som specificeras i SS-ISO/IEC 27001 och den är utformad för att stödja ett lyckat införande av informationssäkerhet med utgångspunkt från riskhantering.
SS-ISO/IEC 15408 Part 1-3 Evalueringskriteria för IT-säkerhet
www.commoncriteriaportal.org
Common Criteria är en standard för att kravställning, deklaration och evaluering av IT-säkerhet i produkter och system i dess användningsmiljöer. Common Criteria är ett ramverk för hur man beskriver de funktionella kraven på IT-säkerhet i en produkt eller ett system och inte en kravställning i sig. Syftet är att först utveckla en kravbild för att sedan kunna evaluera produkten i förhållande till ställda krav.