ISO 27001 sem grunnskilyrði fyrir ríkisstofnanir
Flest ríkisstofnanir (og mörg sveitarfélög) hafa sett ISO 27001 sem grunnskilyrði fyrir SaaS innkaup. Þetta á við í Noregi, Svíþjóð, Danmörku, Finnlandi og Póllandi. Stundum er það ásamt öðrum staðlum eins og SOC 2 Type II eða AWS FedRAMP.
ISO 27001 staðallinn er mikilvægur fyrir ríkisstofnanir vegna þess að hann skapar sannanlegt ferli sem sannar að söluaðili innleiðir grundvallaröryggisráðstafanir. En ISO 27001 ein og sér nægir ekki fyrir margar ríkisstofnanir — þær krefjast viðbótarkrafna á borð við:
- Dulkóðun endalags fyrir all gögn
- Endalaus prufu og penetration-prófun
- Skýr PII-áreiðanleiki og flótt afturköllun
- Lögsagnarumdæmi tilgreint (gögn vera innan EM)
- Endalaus mögulegir viðskipti við aðra söluaðila
Framfylgdakröfur á árinu 2025
Árið 2025 munu mörg ríkisstofnanir styrkja kröfur um SaaS-söluaðila. Helstu breytingar:
- Dulkóðun endalags er nú skylda — ekki valkvæmt. Margar stofnanir munu krefja FIPS 140-2 samhæfni eða jafngildu.
- Endalaus pening prufu — nú eru tvö ár gefin fyrir