ISO/IEC TR 27103 - Ný tækniskýrsla um netvá og nokkur orð um þýðingar 30.05.18

Út er komin ný tækniskýrsla um varnir og viðbrögð við netvá í ISO/IEC 27000-staðlaröðinni. Tæknikýrslan heitir ISO/IEC TR 27103:2018 Information technology - Security techniques - Cyber-security and ISO and IEC Standards. Þar er meðal annars lögð áhersla á áhættumat, að hægt sé að meta breytingar yfir tímabil og þannig virði þeirra fjárfestinga sem sérstaklega eru ætlaðar til að draga úr áhættu. Mikilvægt er að miðlun upp-lýsinga, sem oft eru tæknilegar, sé vel útfærð og réttar boðleiðir skilgreindar. Gera má ráð fyrir auknum kröfum um miðlun upplýsinga um öryggisatvik, ekki bara innan skipu-lagsheildarinnar heldur einnig um miðlun til ytri hagsmunaaðila.

Vandasamar þýðingar
Vert væri að athuga með þýðingu á ISO/IEC TR 27103. Ekki er langt síðan íslenskar þýðingar á stöðlunum ISO/IEC 27000, 27001 og 27002 komu út. Stjórnunarstaðallinn ISO/IEC 27001 var sá fyrsti í þessari staðlaröð sem gefinn var út í samræmi við forskrift fyrir nýja stjórnunarstaðla, svonefndan Annex SL. 

Olafur Robert Rafnsson_2

Ólafur Róbert Rafnsson.

Nýju þýðingarnar í 27000-staðalröðinni byggðu á áður þýddum útgáfum, en þó var ýmsum orðum breytt. Eins og orðinu "eign", sem nú er "verðmæti", en það var talið eiga betur við. Vinna við þýðingarnar var að mestu unnin af fagaðilum með aðstoð þýðanda. Þá var þess gætt að samræmi væri við aðra staðla sem þegar hafa verið þýddir.

Mjög mikilvægt er að vanda til verka við þýðingu á erlendum stöðlum til að tryggja réttan skilning og að innleiðing á þeim sé skil-virk og árangursrík. Íslensk þýðing á orðinu "policy", sem hefur verið þýtt til þessa sem "stefna", á sjaldnast við í ISO/IEC 27001, að mati undirritaðs, þar sem yfirleitt er verið að fjalla um reglur en ekki stefnu. Yfirleitt ætti stefna að innihalda yfirlýsingu um markmið og framtíðarsýn og að réttar reglur séu útfærðar, innleiddar og gefnar út sem taka svo mið af stefnuyfirlýsingu. Dæmi: "Aðgangsstýringarstefna" ætti frekar að vera "aðgangsstýringarreglur." "Dul-ritunar-stefna" ætti frekar að vera "dulritunarreglur" o.s.frv. Þá ber að hafa hugfast, að íslenska þýðingin er einungis til hliðsjónar, en enska útgáfan er sú sem gildir.

Fjölgun vottaðra stjórnkerfa
Stjórnunarkerfisstaðall um upplýsingaöryggi á að ná til allra upplýsinga sem unnið er með og innleiða á viðeigandi varnir, sem taka mið af niðurstöðu áhættumats. Það á jafnt við um persónu-, fjárhags-, kerfisupplýsingar, og aðrar verðmætar upplýsingar. Frá upphafi hefur krafa um áhættumat verið til staðar í ISO/IEC 27001 og aðrir stjórnunarkerfisstaðlar eins og ISO 9001 og ISO 14001 gera nú einnig kröfu um áhættumat.

Víða um heim er kallað eftir betri og vandaðri meðferð upplýsinga. Greinilegt merki þessa er fjölgun vottaðra stjórnunarkerfa í Evrópu, sem rekja má meðal annars til nýrrar reglugerðar um persónuvernd, GDPR.

Ólafur Róbert Rafnsson, ráðgjöf í áhættustýringu og uppýsingaöryggi.


ISO/IEC TR 27103 fæst í Staðlabúðinni.
NÁNAR HÉR >>

Staðlaráð Íslands    Þórunnartúni 2, 3. hæð, 105 Reykjavík    Kennitala: 591193 2019    Opnunartími    Sími 520 7150 fax 520 7171

Þessi síða notar vefkökur (e. cookies).

Nánari upplýsingar

Samþykkja