Veriscan spelar en huvudroll i standardarbetet kring informationssäkerhet.

Jan Branzell, VD Veriscan Security AB I november höll ISO ett internationellt standardiseringsmöte kring ledningssystem för informationssäkerhet i Johannesburg, Sydafrika. Under mötet träffades de organisationer som är involverade i arbetet med att ta fram de standarder som ska ingå i ISO 27000-serien. Arbetet har gett resultat och nu börjar ISO 27000-serien hitta sin slutgiltiga form. Veriscans VD Jan Branzell var en av de svenska säkerhetsexperter som företrädde SIS, Swedish Standards Institute, i Johannesburg. Veriscan har främst varit involverat i arbetet med 27004, standarden för mätning av informationssäkerhet. - Det känns naturligt för oss att delta i arbetet med mätstandarden 27004 eftersom Veriscans kärnprodukt är just mätning. Vi kan bidra både med teknisk kunskap samt kan använda våra praktiska erfarenheter av mätning. Veriscan har genomfört mätningar på olika typer av organisationer och i olika situationer och har därför en bred bas att stå på i standardarbetet, säger Jan Branzell. Jan Branzell har varit medlem i den svenska kommittén för standardisering sedan 2000 och har även haft en aktiv roll i det internationella standardiseringsarbetet kring informationssäkerhet. Förutom att delta i arbetet med att utforma standarden för mätningen har Jan Branzell blivit utsedd till co-editor för ISO 27003, standarden för implementering. Det är de nationella ISO-organisationerna som utser co-editors till de olika standarderna. Den som är co-editor har till uppgift att se till att de obligatoriska stegen i standardutvecklingen genomförs. Co-editorn ska även arbeta för att de olika internationella deltagarna når konsensus i diskussioner kring den standard som utarbetas. – I Sverige har vi jobbat länge med ISO 17799, eller SS 627799 som den svenska varianten av standarden hette från början. Att kunna dra nytta av den erfarenheten och bidra på ett konstruktivt sätt och att direkt vara med och utforma standarden för hur informationssäkerhet ska implementeras är givetvis en stimulerande utmaning. Just implementering är också intressant för att området spänner över hela processen och nyttjar alla standarderna i 27000-serien. Att få samarbeta direkt med de andra tre Co-editorerna (från USA, Japan och Tyskland) innebär också ett direkt utbyte av idéer och erfarenheter. Det är min förhoppning att dessa tankar och kunskaper kommer att stärka både standarden och våra kunders förmåga att enklare kunna införa en god informationssäkerhet, avslutar Jan Branzell. Både standarden för mätning och standarden för implementering beräknas vara klara 2008 och då kommer även 27000-serien vara fullbordad. Det finns då ett komplett stöd för de företag och organisationer som vill införa och följa upp processer med informationssäkerhetsarbetet. Själva processen att ta fram en standard tar mellan 3-5 år att genomföra. ______________________________ Fakta om ISO 27000-serien - Ledningssystem för informationssäkerhet ISO 27000-serien är den tredje större ledningssystemsstandarden (förutom ISO 9000 för kvalitet och ISO 14000 för miljö) och kommer så småningom att omfatta följande standarder och områden: * ISO 27000 Överblick och terminologi gällande Ledningssystem för informationssäkerhet (LIS) (Under utarbetande) * ISO 27001-2005 Kravstandard för certifiering av LIS (Publicerad) * ISO 27002 Riktlinjer för informationssäkerhet (I nuläget publicerad som ISO 17799-2005. Byter till benämningen 27002 under 2007) * ISO 27003 Implementering av LIS (Under utarbetande) * ISO 27004 Mätning av informationssäkerhet (Under utarbetande) * ISO 27005 Riskanalyser och riskhantering inom informationssäkerhet (Under utarbetande) * ISO 27006 För ackrediterings och certifieringsorgan (Publiceras inom kort) Mer information om LIS - Ledningssystem för informationssäkerhet finns på www.sis.se