Hvordan vælger man sit hovedrammeværk?

ISO27001, CIS18 eller måske NIST? 

Hvilket rammeværk skal man vælge som sit overordnede? Sin ledestjerne ud i det store cyberunivers. 🌟

Mange databeskyttelses- og informationssikkerhedsfolk arbejder i dag på tværs og bruger flere forskellige rammeværk i deres arbejde. Et eksempel kan være, at man i lang tid har arbejdet efter ISO27001, men nu også er blevet omfattet af NIS2. Det kan også være, at ens organisation er helt ny i at skulle tage stilling til informationssikkerhed, og at det derfor kan føles overvældende at finde ud af, hvor man skal starte og finde hovede og hale i mange forskellige rammeværk. 

“Når man skal leve op til flere forskellige standarder, lovgivninger eller frameworks, så er det smart at have et enkelt hovedrammeværk, så man ikke kommer til at lave dobbelt dokumentation og dermed dobbelt arbejde,” siger Marie Bjerre Simonsen, informationssikkerhedsekspert i Wired Relations.

Ved at vælge et hovedrammeværk har man et udgangspunkt, og det vil derfra være nemmere at mappe andre rammeværk op imod det og dermed få et overblik over, hvor der er overlap, og hvor der er forskelligheder, som skal adresseres og håndteres. 
‍
Så hvordan kan man strukturere det, og hvornår giver de forskellige mening? 

“Der er nogle brancher som per definition er underlagt at skulle efterleve ISO standarder, som for eksempel kommuner, styrelser og ministerier. Som oftest bliver CIS18 valgt som hovedrammeværk af organisationer med et teknisk fokus. Og NIST kan være god til mindre og knap så modne organisationer,” fortæller Marie Bjerre Simonsen.

Læs også: Infosec standarder: Få overblikket over de mest almindelige her

DANX Carousel: Der skal styr på retningen

DANX Carousel er et eksempel på en virksomhed, som har taget et enkelt rammeværk særligt til sig. I et interview fortæller informationssikkerhedschef Anders Thingholm, at han arbejder med ISO 27001 som udgangspunkt for informationssikkerhedsarbejdet i virksomheden, der spænder bredt over flere lande, og hvor der jævnligt bliver opkøbt nye virksomheder til koncernen. Det er derfor uhyre vigtigt med et godt fundament.

“Der er jo ikke nogen, der arbejder i det her felt, der ikke kan arbejde uendelig mange timer, hvis ikke man kan sætte stop et eller andet sted (...) så man skal have noget, der har styr på retningen, for ellers kan du komme ned i 200 kaninhuller hver dag,” siger Anders Thingholm.

Han forklarer også, at ISO standarden er god i en due dilligence proces, og er med til at sikre, at man hurtigt kan aligne med nye virksomheder.

“Det er ikke fordi, at jeg har tænkt mig at stille dem 93 spørgsmål med alle ISO-kravene i den nye version og så sige, kan du give mig et fyldestgørende svar.  Det giver ikke mening med en 3- eller 5-mands virksomhed, men med de større virksomheder kan man jo godt spørge dem ind til den slags ting”.

Derudover er ISO’en en fordel i arbejdet med NIS2, hvor meget af det lægger sig op af ISO´en, og ellers nemt kan adderes.

At vælge ét hovedrammeværk handler i sidste ende om at undgå dobbeltarbejde og samtidig sikre, at organisationen har et fælles sprog for informationssikkerhed.

Læs om, hvordan du kan arbejde med flere rammeværk i Wired Relations

‍Klik her‍