Standarder for cybersikkerhet – kategorisert

Standard Norges komite for informasjonssikkerhet, cybersikkerhet og personvern, har vurdert og prioritert et stort utvalg av internasjonale standarder og fordelt standarder i syv kategorier.

Moderne hvit kuppelbygning
Foto: Unsplash

Informasjonssikkerhet, cybersikkerhet og personvern er et stort og utfordrende område for svært mange virksomheter. Implementering av et rammeverk for cybersikkerhet fordrer en nøyaktig tilnærming der identifisering, vurdering og ledelsens akseptkriterier for risiko står sentralt.

Grunnsamlingen og støttepakkene er satt sammen for å gjøre det enklere å finne frem til de viktigste standardene, gitt noe ulik tilnærming. Disse standardsamlingene vil hjelpe din virksomhet til å bedre forstå hvordan dere bør gjøre egen risikovurdering, avdekke sårbarheter og sikre en plan for implementering av prosesser som gir god kontroll på egen cybersikkerhet.

Alle virksomheter som har tatt mål av å redusere cyberrisikoen bør være kjent med Grunnsamlingen, men også de mer spesifikke pakkene, eksempel personvern, eller informasjonssikkerhet i leverandørkjeder. 

Ønsker du et tilbud på standardene i en eller flere kategorier – ta kontakt med salg på epost salg@standard.no eller 67 83 87 00.

Kategorier – standarder for cybersikkerhet

Kategoriene er satt sammen for å hjelpe virksomhetene til å systematisere arbeidet med cybersikkerhet og implementere hensiktsmessige tiltak dersom identifisert risiko er høyere enn hva virksomhetens ledelse tolererer. Ansvaret for virksomhetenes cybersikkerhet og nå også personvern ligger hos ledelsen og styrene i selskapene.

Kategoriene beskrevet nedenfor er:

  • Grunnpakke cybersikkerhet
  • Støttepakke beredskap
  • Støttepakke personvern
  • Støttepakke informasjonssikkerhet i leverandørkjeder
  • Støttepakke informasjonssikkerhetsstyring
  • Støttepakke risiko
  • Støttepakke bransjespesifikke standarder

Grunnsamling cybersikkerhet 

Grunnsamlingen for informasjonssikkerhet, personvern og cybersikkerhet bygger på anerkjente internasjonale standarder som NS EN ISO 27001, NS EN ISO 27002, NS EN ISO 27014, NS EN ISO 27017, NS EN ISO 27701 og NS ISO 27036-1.

Disse standardene gir retningslinjer og rammeverk for hvordan organisasjoner kan etablere, implementere, vedlikeholde og kontinuerlig forbedre sikkerhetsprosesser. De dekker viktige områder som styring av informasjonssikkerhet (NS EN ISO 27001), kontrolltiltak (NS EN ISO 27002), personvernforvaltning (NS EN ISO 27701), og sikring av skytjenester (NS EN ISO 27017), med mål om å beskytte sensitive data, sikre tilgjengelighet, integritet og konfidensialitet, samt redusere risikoen for cyberangrep og brudd på personvern.

Standarder i grunnsamlingen

  • NS-EN ISO/IEC 27000  Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet - Oversikt og terminologi (ISO/IEC 27000:2016)
  • NS-EN ISO/IEC 27001  Information technology - Security techniques - Information security management systems - Requirements (ISO/IEC 27001:2013 including Cor 1:2014 and Cor 2:2015)
  • NS-EN ISO/IEC 27002  Information security, cybersecurity and privacy protection — Information security controls
  • NS-ISO/IEC 27005  Informasjonsteknologi - Sikringsteknikker - Risikostyring for informasjonssikkerhet
  • NS-ISO/IEC 27014  Informasjonssikkerhet, cybersikkerhet og personvern - Styring av informasjonssikkerhet
  • NS-EN ISO/IEC 27017  Informasjonsteknologi - Sikringsteknikker - Tiltak for informasjonssikring for skytjenester basert på ISO/IEC 27002
  • NS-ISO/IEC 27036-1  Cybersikkerhet - Leverandørforhold - Del 1: Oversikt og konsepter
  • NS-EN ISO/IEC 27701  Sikringsteknikker - Utvidelse av NS-EN ISO/IEC 27001 og NS-EN ISO/IEC 27002 for håndtering av personvernsinformasjon - Krav og retningslinjer

Støttepakke beredskap

Støttepakke for beredskap er basert på standardene ISO 27031, ISO 27035-1, ISO 27035-2, ISO 27035-3 og ISO 27035-4 fokuserer på beredskap, håndtering og respons på sikkerhetshendelser. ISO 27031 gir retningslinjer for kontinuitetsplanlegging for IKT-systemer, mens ISO 27035-serien omhandler hele livssyklusen for hendelseshåndtering, fra forberedelse (ISO 27035-1) til oppdagelse og vurdering (ISO 27035-2), håndtering og respons (ISO 27035-3) og læring og forbedring etter hendelser (ISO 27035-4). Sammen hjelper disse standardene organisasjoner med å styrke sin motstandskraft mot cybertrusler og sikre kontinuerlig drift under sikkerhetsbrudd.

Standarder i støttepakke beredskap

  • NS-ISO/IEC 27031  Informasjonsteknologi - Sikringsteknikker - Retningslinjer for informasjons- og kommunikasjonsteknologiberedskap for forretningskontinuitet
  • NS-ISO/IEC 27035-1  Informasjonsteknologi - Styring av informasjonssikkerhetshendelser - Del 1: Prinsipper og prosess
  • NS-ISO/IEC 27035-2  Informasjonsteknologi - Styring av informasjonssikkerhetshendelser - Del 2: Retningslinjer for planlegging og forberedelse av hendelsesrespons
  • NS-ISO/IEC 27035-3  Informasjonsteknologi - Håndtering av informasjonssikkerhetshendelser - Del 3: Retningslinjer for IKT-hendelsesresponsoperasjoner
  • NS-ISO/IEC 27035-4  Information security governance

Støttepakke personvern

Støttepakken for personvern bygger på de internasjonale standardene ISO 29100, ISO 29134 og ISO 27018, som gir et solid rammeverk for å beskytte personopplysninger. ISO 29100 etablerer en grunnleggende personvernarkitektur og definerer de viktigste prinsippene for behandling av personopplysninger. ISO 29134 gir veiledning for gjennomføring av personvernkonsekvensvurderinger (PIA), som bidrar til å identifisere og redusere risikoer for personvernet.

ISO 27018 fokuserer spesielt på beskyttelse av personopplysninger i skytjenester, og sørger for at leverandører av skybaserte løsninger følger beste praksis for å ivareta konfidensialitet og integritet.

Standarder i støttepakke personvern

  • NS-ISO/IEC DIS 27701  Sikringsteknikker - Utvidelse av NS-EN ISO/IEC 27001 og NS-EN ISO/IEC 27002 for håndtering av personverninformasjon - Krav og retningslinjer (ISO/IEC 27701:2019)
  • NS-EN ISO/IEC 27018  Informasjonsteknologi - Sikringsteknikker - Retningslinjer for beskyttelse av personopplysninger (PII) i offentlige skytjenester som håndterer personopplysninger (ISO/IEC 27018:2019)
  • NS-EN ISO/IEC 29100  Informasjonsteknologi - Sikringsteknikker - Rammeverk for personvern (ISO/IEC 29100:2011, innbefattet Amd 1 2018)
  • NS-EN ISO/IEC 29134  Informasjonsteknologi - Sikringsteknikker - Retningslinjer for vurdering av konsekvenser for personvern (ISO/IEC 29134:2017)

Støttepakke for informasjonssikkerhetsstyring i leverandørkjeder

Støttepakken for informasjonssikkerhetsstyring i leverandørkjeder baserer seg på standardene ISO 27036-1, ISO 27036-2, ISO 27036-3 og ISO 27036-4, som gir en helhetlig tilnærming til å sikre informasjonen som deles med eller håndteres av eksterne leverandører. ISO 27036-1 introduserer grunnleggende prinsipper for sikkerhet i leverandørrelasjoner, mens ISO 27036-2 fokuserer på etablering av avtaler og styring av leverandører.

ISO 27036-3 går i dybden på IKT-baserte tjenester, og ISO 27036-4 omhandler skybaserte tjenester. Sammen hjelper disse standardene organisasjoner med å identifisere, håndtere og redusere sikkerhetsrisikoer knyttet til leverandørkjeder, og sikrer at sensitive data forblir beskyttet gjennom hele samhandlingsprosessen.

Standarder i støttepakke for informasjonssikkerhetsstyring i leverandørkjeder

  • NS-ISO/IEC 27036-1  Cybersikkerhet - Leverandørforhold - Del 1: Oversikt og konsepter
  • NS-ISO/IEC 27036-2  Cybersikkerhet - Leverandørforhold - Del 2: Krav
  • NS-ISO/IEC 27036-3  Cybersikkerhet - Leverandørforhold - Del 3: Retningslinjer for sikkerhet i leveringskjeder for maskinvare, programvare og tjenester
  • NS-ISO/IEC 27036-4  Informasjonsteknologi - Sikringsteknikker - Informasjonssikring i forbindelse med avtaler om tjenester - Del 4: Veiledning for sikring av skytjenester

Støttepakke for informasjonssikkerhetsstyring

Informasjonssikkerhetsstyring basert på standardene ISO 27003, ISO 27004, ISO 27008, ISO 27036-1, ISO 27036-2, ISO 27036-3 og ISO 27036-4 gir en omfattende tilnærming til etablering, overvåking og evaluering av informasjonssikkerhet i organisasjoner. ISO 27003 gir veiledning for implementering av et styringssystem for informasjonssikkerhet (ISMS), mens ISO 27004 fokuserer på måling av effektiviteten av sikkerhetstiltak.

ISO 27008 gir retningslinjer for vurdering av sikkerhetskontroller. ISO 27036-serien dekker styring av sikkerhet i leverandørkjeder, fra generelle prinsipper (ISO 27036-1) til avtaler og styring av leverandører (ISO 27036-2), IKT-tjenester (ISO 27036-3) og skytjenester (ISO 27036-4). Sammen gir disse standardene et strukturert rammeverk for å sikre både interne prosesser og eksterne samarbeidspartnere, noe som styrker organisasjonens samlede sikkerhetsnivå.

Standarder i støttepakke for informasjonssikkerhetsstyring

  • NS-ISO/IEC 27003  Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet - Veiledning
  • NS-ISO/IEC 27004  Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet - Overvåking, måling, analyse og evaluering
  • SN-ISO/IEC TS 27008  Informasjonsteknologi - Sikringsteknikker - Retningslinjer for vurdering av informasjonssikring
  • NS-ISO/IEC 27036-1  Cybersikkerhet - Leverandørforhold - Del 1: Oversikt og konsepter
  • NS-ISO/IEC 27036-2  Cybersikkerhet - Leverandørforhold - Del 2: Krav
  • NS-ISO/IEC 27036-3  Cybersikkerhet - Leverandørforhold - Del 3: Retningslinjer for sikkerhet i leveringskjeder for maskinvare, programvare og tjenester
  • NS-ISO/IEC 27036-4  Informasjonsteknologi - Sikringsteknikker - Informasjonssikring i forbindelse med avtaler om tjenester - Del 4: Veiledning for sikring av skytjenester

Støttepakke for risikostyring

Støttepakken for risikostyring baserer seg på standardene ISO 27005, ISO 31000 og NS 5814, og gir et rammeverk for systematisk håndtering av risikoer knyttet til informasjonssikkerhet. ISO 27005 gir spesifikke retningslinjer for risikovurdering og risikohåndtering innen informasjonssikkerhet, mens ISO 31000 dekker generelle prinsipper og beste praksis for risikostyring på tvers av ulike sektorer.

NS 5814 supplerer med retningslinjer for risikovurderinger i Norge, med fokus på å identifisere, analysere og evaluere risikoer på en konsistent måte. Sammen bidrar disse standardene til å sikre at organisasjoner kan identifisere, vurdere og håndtere risikoer på en effektiv måte for å beskytte informasjon og sikre kontinuitet i virksomheten.

Standarder i støttepakke for risikostyring

  • NS-EN ISO/IEC 27005  Information security, cybersecurity and privacy protection - Guidance on managing information security risks (ISO/IEC 27005:2022)
  • NS-ISO 31000  Risikostyring - Retningslinjer
  • NS 5814  Krav til risikovurderinger

Støttepakke bransjespesifikke standarder

Støttepakken for bransjespesifikke standarder bygger på ISO 27011 og ISO 27019, som gir spesifikke retningslinjer for informasjonssikkerhet innen telekommunikasjon og energisektoren. ISO 27011 er tilpasset behovene i telekommunikasjonsindustrien og fokuserer på beskyttelse av nettverk og tjenester mot sikkerhetstrusler.

ISO 27019 retter seg mot energisektoren, inkludert kraftproduksjon og distribusjon, og sikrer at kritiske systemer for energiforsyning oppfyller høye krav til informasjonssikkerhet. Disse standardene hjelper organisasjoner i disse bransjene med å tilpasse sine sikkerhetskontroller til spesifikke risikoer, og bidrar til en tryggere drift av kritisk infrastruktur.

Standarder for støttepakke bransjespesifikke standarder

  • NS-EN ISO/IEC 27011  Information technology — Security techniques — Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations (ISO/IEC 27011:2016)
  • NS-EN ISO/IEC 27019  Information technology - Security techniques - Information security controls for the energy utility industry (ISO/IEC 27019:2017, Corrected version 2019-08)