Ledelsessystemer for informasjonssikkerhet – ISO/IEC 27001
Denne internasjonale standarden er utarbeidet for å stille krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et ledelsessystem for informasjonssikkerhet.
Etablering og implementering av et ledelsessystem for informasjonssikkerhet i en organisasjon påvirkes av organisasjonens behov og mål, sikkerhetskrav, de organisatoriske prosessene som benyttes, samt størrelsen og strukturen på organisasjonen. Alle disse påvirkende faktorene forventes å endre seg over tid.
Et ledelsessystem for informasjonssikkerhet bevarer konfidensialiteten, integriteten og tilgjengeligheten til informasjon ved å benytte en risikostyringsprosess, og dette gir tillit hos interesseparter ved at risikoer er tilstrekkelig håndtert.
Det er viktig at ledelsessystemet for informasjonssikkerhet er en del av og integrert med organisasjonens prosesser og overordnede styringsstruktur, samt at informasjonssikkerhet blir vurdert ved utformingen av prosesser, informasjonssystemer og sikringstiltak. Det er forventet at ledelsessystemet for informasjonssikkerhet skaleres i samsvar med organisasjonens behov.
Samsvar med andre ledelsessystemstandarder
ISO/IEC 27001 har en overordnet struktur, identiske titler på underpunkter, identisk tekst, felles termer og kjernedefinisjoner som flere av de andre ledelsessystemstandardene fra ISO. Denne felles tilnærmingen vil være nyttig for organisasjoner som velger å bruke ett enkelt ledelsessystem som oppfyller kravene i to eller flere ledelsessystemstandarder.
