Grunnpakke 1-2-3 for cybersikkerhet
Standard Norges komite for informasjonssikkerhet, cybersikkerhet og personvern, har vurdert og prioritert et stort utvalg av internasjonale standarder som vi har kategorisert i tre grunnpakker.
Grunnpakke 1-2-3 er satt sammen for å hjelpe virksomhetene til å systematisere arbeidet med cybersikkerhet og implementere hensiktsmessige tiltak dersom identifisert risiko er høyere enn hva virksomhetens ledelse tolererer. Ansvaret for virksomhetenes cybersikkerhet og nå også personvern ligger hos ledelsen og styrene i selskapene.
Hvordan komme i gang med bedre cybersikkerhet
Informasjonssikkerhet, cybersikkerhet og personvern er et stort og utfordrende område for svært mange virksomheter. Implementering av et rammeverk for cybersikkerhet fordrer en nøyaktig tilnærming der identifisering, vurdering og ledelsens akseptkriterier for risiko står sentralt.
Grunnpakke 1-2-3 vil hjelpe din virksomhet til å bedre forstå hvordan dere bør gjøre egen risikovurdering, avdekke sårbarheter og sikre en plan for implementering av prosesser som gir god kontroll på egen cybersikkerhet. For de fleste virksomheter som har tatt mål av å redusere cyberrisikoen vil grunnpakke 1 og 2 være mest hensiktsmessig.
Om du har spørsmål til disse standardene, kan du kontakte prosjektleder Lars E. Jensen.
Grunnpakke 1
Standarder som alle virksomheter må være kjent med for å gjennomføre basissikkerheten. Typiske standarder i denne pakken er NS-ISO/IEC 27001 og NS-ISO/IEC 27002, men pakken inneholder også flere andre viktige standarder. Grunnpakke 1 er vår Standardsamling for IT-sikkerhet.
NS-EN ISO/IEC 27000 Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet - Oversikt og terminologi (ISO/IEC 27000:2016). Engelsk og norsk utgave.
NS-EN ISO/IEC 27001 Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet - Krav. Engelsk og norsk utgave.
NS-EN ISO/IEC 27002 Informasjonsteknologi - Sikringsteknikker - Tiltak for informasjonssikring. Engelsk og norsk utgave.
NS-ISO/IEC 27003 Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet - Veiledning. Engelsk utgave.
NS-ISO/IEC 27004 Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet - Overvåking, måling, analyse og evaluering. Engelsk utgave.
NS-ISO/IEC 27005 Informasjonsteknologi - Sikringsteknikker - Risikostyring for informasjonssikkerhet. Engelsk utgave.
NS-EN ISO/IEC 27701 Sikringsteknikker - Utvidelse av NS-EN ISO/IEC 27001 og NS-EN ISO/IEC 27002 for håndtering av personvernsinformasjon - Krav og retningslinjer. Engelsk utgave.
Grunnpakke 1 er tilgjengelig som Standardsamling for IT-sikkerhet.
Grunnpakke 2
Standardene har en utvidet funksjon som går lenger og som inkluderer hjelp til å implementere kontroll funksjoner for å forebygge mot cybersikkerhetsrisikoer, hvor blant annet standarder for Cloud inngår og hvor personlig sensitiv informasjon skal håndteres ut fra GDPR-kravene, samt Information security governance.
Trykk på lenkene for å åpne standardene i nettbutikken.
NS/IEC ISO 29100 Information technology — Security techniques — Privacy framework + Amendment 1
NS ISO/IEC 29134 Information technology -- Security techniques -- Guidelines for privacy impact assessment
NS-ISO/IEC 27017 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
NS-ISO/IEC 27018 Information technology — Security techniques — Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors
NS-ISO/IEC 27014 Information security governance
NS-ISO/IEC 27031 Guidelines for information and communication technology readiness for business continuity
NS-ISO/IEC 27035 Information technology — Security techniques — Information security incident management (parts 1 & 2 published)
NS-ISO/IEC 27036 Information technology — Security techniques — Information security for supplier relationships (four parts)
Grunnpakke 3
Standardene inkluderer blant annet sektorspesifikke standarder, men inkluderer også ulike standarder som setter fokus på sikker lagring, og samling av bevis dersom en hendelse har inntruffet.
Trykk på lenkene for å åpne standardene i nettbutikken.
NS-EN ISO/IEC 15408-1 Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model
NS-EN ISO/IEC 15408-2 Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional components
NS-EN ISO/IEC 15408-3 Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance components
NS-ISO/IEC 18045 Information technology – Security techniques – Methodology for IT security evaluation
NS-ISO/IEC 19790 Information technology - Security techniques - Security requirements for cryptographic modules
NS-ISO/IEC 27010 Information technology - Security techniques - Information security management for inter-sector and inter-organizational communications
NS-ISO/IEC 29147 Information technology – Security techniques – Vulnerability disclosure
NS-ISO/IEC 30111 Information technology - Security techniques - Vulnerability handling processes
NS-ISO/IEC 27006 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
NS-ISO/IEC 27007 Information technology - Security techniques - Guidelines for information security management systems auditing
NS-ISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
NS-ISO/IEC 27019 Informasjonsteknologi - Sikringsteknikker - Informasjonssikkerhetskontroller for energiforsyningsindustrien.
NS-ISO/IEC 27034 Information technology — Security techniques — Application security
NS-ISO/IEC 27037 Guidelines for identification, collection, acquisition and preservation of digital evidence
NS-ISO/IEC 27039 Information technology — Security techniques — Selection, deployment and operation of intrusion detection and prevention systems (IDPS) Intrusion prevention
NS-ISO/IEC 27040 Information technology — Security techniques — Storage security
NS-ISO/IEC 27041 Information technology — Security techniques — Guidance on assuring suitability and adequacy of incident investigative method
NS-ISO/IEC 27042 Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence
NS-ISO/IEC 27043 Information technology — Security techniques — Incident investigation principles and processes
NS-ISO/IEC 27050 Information technology — Security techniques — Electronic discovery (parts 1, 2 & 3 published)
NS-ISO 27799:2016 Health informatics — Information security management in health using ISO/IEC 27002 (second edition)