Nyheter inom standardfronten

0 kommentarer

Ny standard för riskhantering -  ISO 31000

Inom riskhantering finns det många olika principer, ramverk och processer. Många olika varianter har det blivit, inte ens inom standardvärlden har det varit konsekvent. Detta problem har varit ett av målen med den nya standarden, att skapa en generisk riskhanteringsstandard som sedan andra standarder kan utgå ifrån. Detta kommer underlätta för t.ex. områdesspecifika riskhanteringsstandarder som då har ISO 31000 i grunden och endast behöver ta med det som är utmärkande för det området.

Standarden består av 3 huvuddelar:

         De grundläggande riskhanteringsprinciperna.

         Definieringen av ett ramverk för riskhantering

         Beskrivning av riskhanteringsprocessen

 När jag läser standarden märks det att tyngdpunkten ligger på processen men en vanlig orsak till misslyckad riskhantering är bristfälligt ramverk så se till att detta inte missas. Sedan är det viktigt att det som står i standarden anpassas till de förutsättningar som varje organisation har. Hur som helt så är standarden en bra utgångspunkt och den har den stora fördelen att den kan appliceras på alla sorters riskhantering.

 Vill man ha hjälp med att hitta en lämplig metod för riskhantering så finns ISO/IEC 31010 - Risk assessment techniques - till hjälp.

 Ny standard inom ledningssystem för informationssäkerhet – ISO/IEC 27003

 I början på februari publicerades den nya standarden ISO/IEC 27003 som är en implementeringsguide för ett ledningssystem för informationssäkerhet (LIS). Inom ett par månader kommer den att antas som svensk standard och då komma ut i en svensk översättning.

 Revidering av ISO/IEC 27001 och 27002

 Revideringen av ISO/IEC 27001 som är kravstandarden för ledningssystem för informationssäkerhet och ISO/IEC 27002 som innehåller riktlinjer för styrning av informationssäkerhet pågår. Det är en process som tar 2-3 år. Tiden kan också påverkas av det arbete med den generiska ledningssystemsstandarden som alla andra ledningssystem måste anpassas till. Frågan är om 27001 ska vänta eller komma ut som planerat - vilken väg som väljs kommer att beslutas längre fram. En generisk ledningssystemstandard är mycket önskvärd då det finns skillnader i dagens många standarder för ledningssystem (t.ex. miljö, kvalitet, informationssäkerhet, arbetsmiljö och kompetensförsörjning), vilket kan försvåra integreringen av olika ledningssystem.

 Roger Bille - säkerhetsrådgivare