Den underkommitté inom ISO som ansvarar för internationella standarder inom informationssäkerhet, cybersäkerhet och dataskydd, ISO/IEC/JTC1/SC27 hade sitt 43:e möte i Nürnberg den 16-17/3. Anna Andersson, vår seniora informationssäkerhetskonsult, deltog som Head of Delegation (HoD) från Sverige, där hon representerade SIS/TK318 (Teknisk kommitté).
Mötet, som kallas plenarmöte, är ett sammanfattande möte för alla de arbetsgrupper som ingår i SC27, men även där alla samarbeten som finns inom SC27 presenteras. ISO-kommittéerna är hierarkiskt uppbyggda med en styrd struktur för beslutsfattande. SC27-mötet i sin tur rapporterar vidare uppåt till JTC1 med ett antal rekommendationer till beslut.
Som HoD får man delta i omröstningar när det blir aktuellt, och även rapportera från mötet till sin svenska TK. Från SIS deltog Jin Moen som är projektledare på SIS, bland annat för TK318.
Plenarmötet föregicks av arbetsgruppsmöten veckan före, där Anna deltog i WG1 på plats i Tyskland. Anna deltog i egenskap av ordförande för den svenska speglade arbetsgruppen, AG11 som ingår i TK318. WG1 och även AG11 har ansvar för ledningssystemsstandarden ISO/IEC 27001 med tillhörande standarder som många känner till, ex. 27000, 27002, 27003, 27004, 27005, 27006, 27007, 27008, etc.
– Det pågår alltid revisioner i standarder, säger Anna. Just nu finns det 236 publicerade standarder och standarder som håller på att tas fram som hör till området. Det är standarder med varierande tekniskt djup, och med olika stora läsargrupper. 27001 och 27002 hör till de mest populära standarderna, men många gånger behövs en fördjupande standard, särskilt om en ny förmåga ska byggas upp i en organisation. Som exempel kan nämnas att det inom WG4 (representeras i Sverige av AG41) finns hela standardserier inom applikationssäkerhet, nätverkssäkerhet, incidenthantering och leverantörsrelationer. Många av dessa fördjupande standarder omnämns i 27002, som kan anses vara en sammanfattande standard över lämpliga säkerhetsåtgärder i en organisation.
– Det som är så fascinerande med att vara aktiv inom standardiseringen, fortsätter Anna, är möjligheten till nätverkande med informationssäkerhetsexperter från hela världen. Tillsammans skapar vi standarder som hjälper organisationer att hantera sin information på ett säkert sätt, och att skapa förutsättningar för säkerhet inom handel och samarbeten. Genom det aktiva deltagandet inom AG11 får vi som medlemmar också en bra inblick i vad som är på gång, förutom att vi också kan påverka innehållet i standarder.