lock search attention facebook home linkedin twittter

Upplýs­inga­ör­yggi

Með innleiðingu ISO/IEC 27001:2013 staðalsins sem fjallar um stjórnkerfi upplýsingaöryggis er stuðlað að stöðugleika í rekstri upplýsingakerfa og auknu upplýsingaöryggi.

Komist viðkvæmar upplýsingar í hendur rangra aðila geta fyrirtæki orðið fyrir verulegu fjárhags- og ímyndartjóni. Ýmsar leiðir eru færar til að stýra þessari áhættu. Sum fyrirtæki kjósa vottun samkvæmt staðlinum og fjölmargir aðilar vinna nú þegar eftir því verklagi sem þar kemur fram til að auka samkeppnishæfni og rekstraröryggi. Kröfur eftirlitsaðila, s.s. FME og SE, hafa tekið mið af þeim kröfum og stýringum sem koma fram í staðli um stjórnkerfi upplýsingaöryggis. Að sama skapi er fjallað ítarlega um vernd persónugreinanlegra upplýsinga sem er einn af hornsteinum staðals um öryggi upplýsinga.

Fyrsta skrefið í nálgun Capacent við innleiðingu á stjórnkerfi upplýsingaöryggis er að meta umfang og flækjustig og skilgreina markmið með stjórnkerfinu.

Þá er einnig mikilvægt að standa vel að útfærslu stefnu og áætlunar um áhættustýringu og upplýsingaöryggi. Upplýsingaöryggisstefnan er ein af lykilstefnum í stjórnkerfinu ásamt útfærslu áhættustýringar. Nálgun við innleiðingu markast af því hver markmið vottunar eru og að þess sé gætt í hvívetna að virkt umbótaferli stuðli að stöðugum umbótum á stjórnkerfinu. Einfaldleiki við útfærslu stjórnkerfisins er lykilatriði ásamt því að hægt sé að sýna fram á mælanlegan ávinning af því að nýta stjórntæki eins og stjórnkerfi upplýsingaöryggis.

Aðferðafræði Capacent tekur mið af kröfum sem fjallað er um í ofangreindum stöðlum og nýtir hugbúnaðinn Xadd ERM fyrir miðlæga áhættuskrá ásamt öðrum skjölum við innleiðingu og rekstur stjórnkerfisins. Hægt er að beita nálgun Capacent til að ná utan um heildaráhættu fyrirtækisins/stofnunnar óháð stjórnkerfi upplýsingaöryggis.

Hér fyrir neðan eru helstu efnisatriði sem falla undir stjórnkerfi upplýsingaöryggis:

  • Umfang og markmið
  • Upplýsingaöryggisstefna
  • Áhættustýring
  • Árangursmælingar og áhættuvísar
  • Úttektir og stöðugt umbótaferli
  • Yfirlýsing um nothæfi (SOA)

Aðrir staðlar sem eru nýttir við innleiðingu á kröfum vegna ISO/IEC 27001:2013 eru:

  • ISO/IEC 27002:2013 Information technology – Security techniques – Code of Practice for information security controls
  • ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management
  • Einnig er litið til ISO 31000:2009 Risk Management Principles and Guidelines