ISO/IEC JTC 1 SC 27 möte i Wuhan, Kina


UPPSEC AB deltar under denna vecka (Vecka 16 2018) i ISO/IEC SC27 konferens i Wuhan, Kina. SC27 ansvarar för att ta fram globala ISO/IEC-standarder inom områdena informationssäökerhet, cybersäkerhet och privacy. 300 experter från hela världen deltar under en veckas arbete med att utveckla standarder för hela området. Totalt pågår ett 90-tal olika projekt för närvarande. SC27 har publicerat cirka 150 standarder inom området. Bl.a. har denna grupp tagit fram ISO/IEC 27000-serien där bland annat ISO/IEC 27001 och ISO/IEC 27002 ingår. Standarderna används av alla tusentals organisationer, små såväl som stora, privata såväl som offentlig över hela världen

Använd LIS och nya ISO/IEC 29151 samt ISO/IEC 29134 för att hantera GDPR

Många organisationer har sent vaknat upp och förstått att det kommer ny lagstiftning i maj 2018 som berör dom. På sina ställen där man är sent ute råder en GDPR-hysteri. Men om man nu har ett ledningssystem för informationssäkerhet (ISO/IEC 27001) då kan man självklart använda detta som ett medel för att hantera GDPR. Sett från LIS-perspektiv är GDPR bara ytterligare att legalt krav. Ett av många. Har man haft LIS sedan tidigare ska man ju såklart ha identifierat PuL för länge sedan och vidtagit åtgärder för att följa den. Då är ju förändringen till det nya inte alltför stort.

Bra riskanalyser är nyckeln i ett fungerande LIS. Väl utförda riskanalyser ska ha identifierat risker kopplade till hanteringen av personuppgifter. Möjligen kan dessa behöva kompletteras något men organisationen borde komma långt med redan utförda analyser.

Utöver LIS har ISO tagit fram några standarder som kan vara värda att uppmärksammas i sammanhanget.

ISO/IEC 29151 är en vägledning (publicerad 2017) som kompletterar ISO/IEC 27002 med ytterligare vägledning av befintliga säkerhetsåtgärder i 27002 rörande hanteringen av personuppgifter, Utöver detta identifierar ISO/IEC 29151 ett antal ytterligare tillkommande säkerhetsåtgärder rörande hanteringen av personuppgifter. Standarden är global och är därför inte direkt skriven mot GDPR men innehåller de beståndsdelar som finns i GDPR.

ISO/IEC 29134 ger vägledning runt genomförandet av PIA (privacy impact assessment). Dokumentet ska ses som en förlängning av riskhanteringen som beskrivs i ISO/IEC 27005 och den generiska riskhantering inom ledningssystem som beskrivs i ISO 31000.

Genom att komplettera sitt LIS genom att studera dessa två standarder kan en organisation anpassa sitt LIS för att täcka de flesta av kraven i GDPR.

Välkommen till UPPSEC

UPPSEC är ett företag som tillhandahåller tjänster inom informationssäkerhet och cybersäkerhet. UPPSEC utför konsultuppdrag, revisioner och utbildningar inom området.

UPPSEC AB ägs och drivs av Lars Söderlund. Lars är senior informationssäkerhetsexpert med 20 års erfarenhet inom området. Lars är certifierad CISM (certified information security manager) och ISMP (information security professional). Genom den långa erfarenhet och aktivt deltagande vid utvecklingen av svenska och globala standarder kan UPPSEC stödja organisationer på ett unikt sätt och införa ett systematiskt arbetssätt på ett verksamhetsanpassat sätt. UPPSEC AB stödjer både små och stora organisationer, både privata och offentliga när det gäller arbetet med informationssäkerhet, cybersäkerhet och dataskydd.

UPPSEC AB är aktiv medlem inom den svenska och internationella standardiseringen. UPPSEC AB är medlem i SIS TK 318 och bemannar där rollen som ordförande i AG 11 som utgör den svenska spegelgruppen till ISO/IEC jTC 1 SC 27 WG 1 som hanterar managementstandarder inom informationssäkerhetsområdet inom ISO/IEC 27000-serien. Arbetet med standardiseringen innebär att UPPSEC AB deltar inom det internationella standardiseringsarbetet i följande grupper:

  • ISO/IEC JTC 1 SC 27 WG1, WG 4 och WG 5
  • CEN CENELEC JTC 13
  • ISO TMB JTCG

Förutom standardiseringen är UPPSEC AB medlem i SIG Security och ISACA Sweden chapter.