lock search attention facebook home linkedin twittter

Ekki taka gömlum sannleik sem gefnum. Það þarf kjark til að líta hlutina nýjum augum og fá á þá ferska sýn.

Upplýsingaöryggi

Með innleið­ingu ISO/IEC 27001:2013 stað­alsins sem fjallar um stjórn­kerfi upplýs­inga­ör­yggis er stuðlað að stöð­ug­leika í rekstri upplýs­inga­kerfa og auknu upplýs­inga­ör­yggi.

Komist viðkvæmar upplýs­ingar í hendur rangra aðila geta fyrir­tæki orðið fyrir veru­legu fjár­hags- og ímynd­ar­tjóni. Ýmsar leiðir eru færar til að stýra þessari áhættu. Sum fyrir­tæki kjósa vottun samkvæmt staðl­inum og fjöl­margir aðilar vinna nú þegar eftir því verk­lagi sem þar kemur fram til að auka samkeppn­is­hæfni og rekstr­ar­ör­yggi. Kröfur eftir­lits­aðila, s.s. FME og SE, hafa tekið mið af þeim kröfum og stýr­ingum sem koma fram í staðli um stjórn­kerfi upplýs­inga­ör­yggis. Að sama skapi er fjallað ítar­lega um vernd persónu­grein­an­legra upplýs­inga sem er einn af horn­steinum staðals um öryggi upplýs­inga.

Fyrsta skrefið í nálgun Capacent við innleið­ingu á stjórn­kerfi upplýs­inga­ör­yggis er að meta umfang og flækju­stig og skil­greina markmið með stjórn­kerfinu.

Þá er einnig mikil­vægt að standa vel að útfærslu stefnu og áætl­unar um áhættu­stýr­ingu og upplýs­inga­ör­yggi. Upplýs­inga­ör­ygg­is­stefnan er ein af lykil­stefnum í stjórn­kerfinu ásamt útfærslu áhættu­stýr­ingar. Nálgun við innleið­ingu markast af því hver markmið vott­unar eru og að þess sé gætt í hvívetna að virkt umbóta­ferli stuðli að stöð­ugum umbótum á stjórn­kerfinu. Einfald­leiki við útfærslu stjórn­kerf­isins er lykil­at­riði ásamt því að hægt sé að sýna fram á mælan­legan ávinning af því að nýta stjórn­tæki eins og stjórn­kerfi upplýs­inga­ör­yggis.

Aðferða­fræði Capacent tekur mið af kröfum sem fjallað er um í ofan­greindum stöðlum og nýtir hugbún­aðinn Xadd ERM fyrir miðlæga áhættu­skrá ásamt öðrum skjölum við innleið­ingu og rekstur stjórn­kerf­isins. Hægt er að beita nálgun Capacent til að ná utan um heild­ar­á­hættu fyrir­tæk­isins/stofn­unnar óháð stjórn­kerfi upplýs­inga­ör­yggis.

Hér fyrir neðan eru helstu efnis­at­riði sem falla undir stjórn­kerfi upplýs­inga­ör­yggis:

  • Umfang og markmið
  • Upplýs­inga­ör­ygg­is­stefna
  • Áhættu­stýring
  • Árang­urs­mæl­ingar og áhættu­vísar
  • Úttektir og stöðugt umbóta­ferli
  • Yfir­lýsing um nothæfi (SOA)

Aðrir staðlar sem eru nýttir við innleið­ingu á kröfum vegna ISO/IEC 27001:2013 eru:

  • ISO/IEC 27002:2013 Information technology – Security techniques – Code of Practice for information security controls
  • ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk mana­gement
  • Einnig er litið til ISO 31000:2009 Risk Mana­gement Principles and Guidelines

Nánari upplýsingar