Styringssystem for informasjonssikkerhet. Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002

Både Riksrevisjonen, Nasjonal sikkerhetsmyndighet (NSM) og Datatilsynet har de senere årene uttalt at tilstanden innen informasjonssikkerhet ikke er god nok i forvaltningen. Det er for mange virksomheter som mangler tilstrekkelig styring og kontroll med informasjonssikkerheten. Tiltak som har vært trukket frem i flere sammenhenger er økt bruk av styringssystem for informasjonssikkerhet og bruk standarden ISO 27001.

Publisert: 21. des 2012, Sist endret: 01. sep 2015

Denne rapporten prøver å klargjøre både utfordringene, kjernen i ISO-standardene og en rekke styringsbegrep som gjerne blir brukt litt uklart og om hverandre. Rapporten gjengir og vurderer en rekke erfaringer fra forvaltningen - både fra revisjons- og tilsynsmyndigheter og fra virksomheter som har etablert slike styringssystem og brukt de aktuelle standardene. Vi har også samlet en rekke «Råd fra virksomhetene». Rapporten inneholder også en vurdering av om det bør gis et pålegg om bruk av ISO 27001- og ISO 27002-standardene i statlige virksomheter.

Pressemelding om rapporten: Informasjonssikkerhet et topplederansvar

Kontakt