bkstvskmbntn

[Magnus Danielson]

From: Erik Josefsson <ehj at ffii.org>
Subject: Re: bkstvskmbntn
Date: Mon, 12 Nov 2007 00:23:26 +0100
Message-ID: <47378EEE.3050209 at ffii.org>

> Åke Nordin wrote:
> > Erik Josefsson wrote:
> > 
> >> Det ligger förslag om att utöka databasens innehåll och
> >> användningsområde, därför undrar jag om det inte skulle vara naturligt
> >> att sätta ribban ännu högre än "BSI100-2, BSI100-3, ISO/IEC 27001", om
> >> det nu går.
> >>
> >> Går det?
> > 
> > Nu vet jag inget om BS100-standarderna, men ISO 2700X säger absolut
> > inget om ribbans höjd, den sätter organisationen själv. Standarden
> > säger mest hur du ska beskriva att du klarar din egen ribba. Det är
> > ungefär som kvalitetssystem enligt ISO 9000: säger ditt
> > kvalitetssystem att du ska kasta alla klagomål i papperskorgen och
> > att alla produkter som överhuvud taget kan förpackas i sina kartonger
> > är godkända, så är det ett kvalitetsledningssystem som kan
> > ISO9000-certifieras.
> > 
> > Man måste med andra ord granska policys, gap-analysernas utfall
> > och avstämningen att alla förändringar som krävs för att stänga
> > gapen om man ska kunna veta något om hur säker databasen är.
> 
> Finns det nån ISO-standard för detta förfarande och/eller som sätter
> ribban efter en extern referens (gärna högt)?
> 
> Jag är ute efter ett enkelt argument: "Gärna googla flyktingar men bara
> om systemen uppfyller ISO 11223344".

Söker man på informationssäkerhet så hittar man en hel del.

ISO/IEC 13335
ISO/IEC 17799
ISO/IEC 18044
ISO/IEC 27001

verkar vara det du skall följa upp.

Läs dem innan du rekommenderar dem!

Men, det finns flera ställen som pekar åt det hållet, inkl:

http://itsakhandbok.irt.kth.se/susec/
http://www.detnorskeveritas.se/certification/ledningssystem/informationssakerhet/index.asp
http://sv.wikipedia.org/wiki/Informationss%C3%A4kerhet

För övrigt kanske det finns de som finner Trafikuppgiftsutredningen intressant:
http://www.sou.gov.se/trafikuppgift/
Innehåller flera intressanta aspekter.

MVH
Magnus