Selskapsledelse av IT-sikkerhet – ISO/IEC 27014
Standarden ISO/IEC 27001 beskriver krav til ledelsessystemer for informasjonssikkerhet (LSIS) mens ISO/IEC 27014 beskriver hvordan styret i en virksomhet bør forholde seg til et slikt LSIS. Standarden ble oppdatert i 2020.
Å beskytte bedriften mot datainnbrudd og hacking er omfattende og involverer mange systemer, verktøy og mennesker. Standarden ISO/IEC 27014 hjelper selskapsledelsen med å styre disse aktivitetene slik at innsatsen passer inn i organisasjonsstrukturen og virksomhetens strategier.
Standarden gir veiledning om konsepter, mål og prosesser for styring av informasjonssikkerhet, som organisasjoner kan bruke for å evaluere, lede, kommunisere og overvåke et LSIS basert på ISO/IEC 27001.
ISO/IEC 27014 ble oppdatert i 2020 for å følge ISO/IEC 270001 samtidig som den har bevart relevansen for andre krav til selskapsledelse.
Innhold
Standarden tar for seg seks overordnede mål for hva virksomheten bør ta sikte på å oppnå. Dette omfatter for eksempel mål for hvordan en kultur for IT-sikkerhet kan skapes i virksomheten, at tiltak må passe inn i virksomhetens krav og utfordringer og at risikostyring knyttet til IT gjøres i tråd med øvrig risikostyring.
Standarden viser deretter hvordan man bruker prosessen med å evaluere, lede, overvåke og kommunisere – og hva som ligger i disse begrepene. Modellen under viser hvordan disse prosessene fungerer i en virksomhet med et LSIS basert på ISO 27001.