Repræsentanter fra mere end 30 lande fra hele verden har netop holdt møde i ISO, som er den internationale organisation for standardisering. Danmark deltog også.
På mødet på Cypern blev man blandt andet enig om at revidere de internationale standarder for informationssikkerhed ISO/IEC 27001 og ISO/IEC 27002.
Der findes mange nationale varianter af standarderne. Herhjemme har vi udviklet DS 484:2005, Standard for informationssikkerhed; en standard, staten har besluttet at implementere.
Der er i den seneste tid opstået en del forvirring om DS 484:2005. Det skyldes blandt andet, at man overser, at DS 484:2005 er en normativ standard, hvis indhold for 95 procents vedkommende baserer sig på ISO/IEC 27002, som er en ikke-normativ standard.
Så når man drøfter, om Danmark skal vælge den ene frem for den anden, er det som at sammenligne æbler med pærer.
DS 484:2005 stiller krav om efterlevelse af en række forhold, mens ISO/IEC 27002 vejleder om, hvordan man kan efterleve en række krav i ISO/IEC 27001. Med andre ord er forslag i ISO/IEC 27002 blevet til krav i den danske DS 484:2005.
På mødet drøftede man, om ISO/IEC 27002 skulle være en normativ standard, uden at man nåede frem til en endelig konklusion. Strategien og strukturen for revisionen af standarderne besluttes først på næste møde i Beijing til maj næste år.
En given strukturændring, herunder hvad der skal stå i hvilken standard, kan indvirke på omfanget af de normative krav, som bliver inkluderet i ISO/IEC 27001.
Mange tusind repræsentanter fra hele verden deltager i udviklingen af ISO-standarderne. Det gør standarderne anvendelige for de virksomheder, der benytter dem i den globale samhandel, ligesom det er incitament for andre til at anvende dem.
Den bedste løsning for Danmark
Den nationale delegation repræsenterer det nationale udvalgs synspunkter. Hvert nationalt udvalg består af 15-30 eksperter fra offentlige og private virksomheder. Såvel enkeltpersoner som virksomheder kan være medlem af de nationale udvalg og deltage på de årlige møder.
Størrelsen på de nationale delegationer kan variere i forhold til, hvilke standarder der behandles, da møder i arbejdsgrupperne finder sted parallelt.
Ved selve afstemningerne har hvert land uanset størrelse og involvering i arbejdsgrupperne kun én stemme. Møderne i arbejdsgrupperne er dialog- og konsensusdrevet. Det betyder, at muligheden for indflydelse er stor.
Ud over de nationale delegationer deltager også organisationer som ISACA, der blandt andet er kendt for CobIT og ISF, dvs. at organisationerne bidrager til standarderne på lige fod med andre. Sådanne 'alliancer' styrker det fælles ønske om konvergens, som i sidste ende gavner brugerne af standarderne.
Jeg mener, den bedste løsning for Danmark er at anvende de reviderede versioner af de to ISO-standarder.
Derudover bør man udarbejde et nationalt tillæg, der beskriver udvalgte punkter i ISO-standarderne, således at et forslag i ISO/IEC 27002 skal fortolkes som et krav i Danmark. På den måde opnår vi det bedste af to verdener, da vi på den ene side vil anvende internationale standarder, samtidig med at vi kan vælge at lægge et højere nationalt niveau for for eksempel statsinstitutionerne.
Interesserede kan få indflydelse på revisionen af de to ISO-standarder ved at tilmelde sig udvalget hos Dansk Standard. Der holdes informationsmøde 13. november. Tilmelding kan ske hos projektkoordinator Djouhara Qualli, djo@ds.dk.
Niels Madelung er projektchef hos Dansk Standard. Han er certificeret informationssikkerhedsleder (CISM) og en af redaktørerne af revisionen af ISO/IEC-standarden 27002.
Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.
