23 november, 2022
Ny version av ISO 27002 - Här är nyheterna
Nu uppdateras ISO 27001:2013 till 2022 års upplaga, vilket innebär en hel del förändringar jämfört med den tidigare versionen. Här är en sammanfattning över hur standarden har uppdaterats och på vilka sätt förändringarna påverkar organisationer som vill efterleva den.
ISO 27001 är en internationellt erkänd informationssäkerhetsstandard som används av organisationer världen över. Syftet är att hjälpa företag att etablera och upprätthålla ett effektivt ledningssystem för informationssäkerhet (LIS, eller på engelska ISMS) genom kontinuerlig förbättring. Standarden ställer i sin tur krav på att organisationen arbetar och hanterar olika säkerhetsrisker på ett strukturerat sätt genom att etablera policys, instruktioner och rutiner.
Avsikten är att organisationen ska designa, implementera, upprätthålla och ständigt förbättra en fördefinierad uppsättning säkerhetsåtgärder och åtgärder för att hantera alla typer av hot mot dess informationstillgångar.
Uppdatering av ISO 27001:2013 till ISO 27001:2022
Sedan ISO 27001 introducerades i Sverige år 2005 har standarden uppdaterats vid två tillfällen: 2013 och nu 2022, när den återigen genomgår omfattande förändringar.
ISO 27002 uppdaterades den 15 februari 2022 och bilaga A till ISO 27001 anpassades till dessa ändringar. Uppdateringen av ISO 27001 skedde under oktober 2022 efter en tids försening på grund av pandemin. ISO 27001:2022 är därmed den aktuella standard som organisationer certifierar sig gentemot framöver.
Syftet med uppdateringen
Det främsta syftet med uppdateringen är att standarden och de ramverk den bygger på bättre ska kunna harmoniseras med verksamheters övriga, i många fall mer strömlinjeformade arbete. Tidigare har standarden inkluderat säkerhetsåtgärder i 14 olika domäner, till exempel domänen för säkerhet vid personalhantering och domänen för hantering av kryptografiska tillgångar. Arbetet med dessa 14 domäner återfinns dock sällan i andra delar av verksamheten, och medför på så sätt att arbetet blir ensamt i sin struktur.
Det innebär att många organisationer har svårt att på ett naturligt sätt förankra själva strukturen av informationssäkerhetsarbetet i den övriga verksamheten, som i många fall istället bygger på ramverket för människor, processer och teknologi, eller det mer kända uttrycket; People, Processes and Technology (PPT). ISO 27001:2022 övergår till just denna struktur och delar in säkerhetsåtgärderna i fyra olika teman; Organisational, People , Physical och Technological
Vidare finns ett behov att modernisera standardens säkerhetsåtgärder och dess definitioner för att vara aktuella gentemot de risker organisationer står inför idag, såsom moln- och tredjepartssäkerhet.
Uppdateringen ämnar även till att undvika överlappningar mellan de olika säkerhetsåtgärderna samt effektivisera dem. En annan fördel är att standarden blir mer flexibel då den i stället för 14 domäner blir indelad i ovannämnda fyra teman.
Övergripande strukturförändring - Teman istället för domäner
En av de största förändringarna som sker i och med uppdateringen av ISO 27002 är som tidigare nämnt den som gäller för standardens struktur för de olika säkerhetsåtgärderna. Istället för de 14 olika områden som ISO 27001 tidigare delades in i gäller nu fyra nya huvudteman; Organisational, People, Physical och Technological.
Organisational
Temat Organisational består av 37 säkerhetsåtgärder och ämnar främst till att hantera risker på den organisatoriska nivån. Temat innehåller många säkerhetsåtgärder som omfattar styrningen av det övergripande informationssäkerhetsarbetet, men även detaljer gällande hanteringen av själva ledningssystemet. Det inkluderar därmed säkerhetsåtgärder för hanteringen av styrdokument och organisationen som ska sköta informationssäkerhetsarbetet.
Temat behandlar även säkerhetsåtgärder gällande efterlevnaden av applicerbara lagar och regelverk som organisationer måste följa. Utöver detta innehåller även temat säkerhetsåtgärder för det essentiella arbetet med hantering av risker, tillgångar och dokument som är en grundpelare för att kunna ha ett systematiskt informationssäkerhetsarbete.
Organisational-temat är ett väldigt brett och potentiellt en aning missvisande i förhållande till vad temat faktiskt behandlar. I själva verket kan det snarare betraktas som en slasktratt för säkerhetsåtgärder som inte har en naturlig plats i andra teman – något som av ISO förklarar med orden ”otherwise they are categorized as organizational”.
People
Temat People består av 8 säkerhetsåtgärder ämnade att hantera risker relaterade till individer knutna till organisationen. Säkerhetsåtgärderna i domänen är snarlika de som finns inom föregående område 7, Human Resource, i ISO 27002:2013. Domänen hanterar fortfarande livscykeln av en anställd; innan, under och efter anställning, men nu även områden som distansarbete och rapportering av incidenter. Utöver det innefattar temat bland annat individens beteende, aktiviteter, roller och ansvar och terms and conditions.
Temat People bedöms vara ett förhållandevis simpelt område att både implementera och granska jämfört med ovan nämnda Organisational och Technological som beskrivs längre ner.
Physical
Temat Physical består av 14 säkerhetsåtgärder som ska hjälpa företag att hantera risker inom fysisk säkerhet som kan ha negativ effekt på tillgångar. Säkerhetsåtgärderna är snarlika föregående område 11, Physical and environmental security, i ISO 27002:2013.
Krasst beskrivet innebär temat hanteringen för att skydda påtagliga (informations-)tillgångar som man kan se och röra – med andra ord fysiska objekt. Precis som temat People är detta ett av de lättare att implementera säkerhetsåtgärder inom samt granska. Ofta upplevs de även som mer greppbara och enklare att förstå vikten av, såsom att ha låsta dörrar mellan externa och interna delar av kontoret och inte lämna datorn olåst etcetera.
Technological
Temat Technological består av 34 säkerhetsåtgärder menade att hjälpa organisationer att skydda sina teknologier (IT-miljöer) mot diverse risker.
Temat innehåller bland annat säkerhetsåtgärder för hantering av intern utveckling av system samt outsourcing av system som används inom verksamheten. Vidare ingår även skydd av all data som hanteras inom organisationen, där säkerhetsåtgärderna hanterar data under de olika stadier som den kan befinna sig i; lagring, överföring och användning.
Temat innehåller även säkerhetsåtgärder för att skydda endpoint devices (såsom användares mobiler och datorer), hantering av priviligierade rättigheter i system, nätverkssäkerhet och flera andra säkerhetsaspekter. Det kan anses innehålla många av de säkerhetsåtgärder som område 12, Operational security, i ISO 27002:2013 innehöll, men även ytterligare säkerhetsåtgärder från bland annat områdena 9, Cryptography, 8, Access security och 14, System Acquisition, Development and Maintenance.
Technological är med andra ord ett väldigt omfattande tema som också innehåller komplicerade säkerhetsåtgärder, vilket kan göra att det både kan svårt att implementera och granska dess säkerhetsåtgärder.
Ny struktur för säkerhetsåtgärder
Utöver de övergripande förändringarna i standarden genomgår även säkerhetsåtgärderna i ISO 27002:2022 förändringar. Strukturen för säkerhetsåtgärderna i Bilaga A förändras och ett antal nya säkerhetsåtgärdaspekter dyker upp.
Säkerhetsåtgärderna anger nu, utöver säkerhetsåtgärdens text och vägledning för implementering, även syftet med säkerhetsåtgärden. Detta för att skapa förståelse för vikten av att ha den på plats, samt attribut för säkerhetsåtgärdens natur. Dessa struktureras sedan i en tabell där varje säkerhetsåtgärd innehåller ett antal olika attribut för att kunna integrera säkerhetsåtgärden det övriga informationssäkerhetsarbetet.
Attribut
Att använda säkerhetsåtgärdsattribut är helt frivilligt för organisationer som vill efterleva ISO27001:2022, som även kan välja att definiera egna attribut i 5 definierade kategorier. De attribut som finns fördefinierade av ISO 27002:2022 är förslag som ISO ger. Dessa kategorier säkerhetsåtgärdsattribut innefattar:
- Säkerhetsåtgärdstyp
- Informationssäkerhetsegenskap
- Cybersäkerhetskoncept
- Operationell kapabilitet
- Säkerhetsdomäner
Säkerhetsåtgärdstyp definierar hur säkerhetsåtgärden hanterar risk och kan antingen vara Preventiv (proaktiv innan risken aktualiserats), Detektiv (upptäcker när risken aktualiserar) eller Korrektiv (efter risken har aktualiserats).
Informationssäkerhetsegenskap definierar vilken aspekt av informationssäkerheten som berörs och innefattar den klassiska CIA-triangeln (Confidentiality, Integrity och Availability).
Cybersäkerhetskoncept definierar koncept för hantering av cybersäkerhet och associeras med ISO/IEC TS 27110 - Information technology, cybersecurity and privacy protection — Cybersecurity framework development guidelines. Dessa definierar ISO-ramverket för att hantera cyberattacker mot IT-miljöer i verksamheter. Värdena kan antingen vara Identifiera, Skydda, Upptäcka, Svara eller Återhämta.
Operationell kapabilitet innefattar 15 olika perspektiv av informationssäkerhetskapabiliteter, såsom Governance, Tillgångshantering och HR-säkerhet.
Säkerhetsdomäner är de olika domäner som ISO definierar för säkerhet och består av:
- Governance and Ecosystem – information system security governance & risk management och ecosystem cyber security management (interna och externa intressenter)
- Skydd/Protection – IT security architecture, IT security administration, identity and access management, IT security maintenance och physical and environmental security
- Försvar/Defence – detection och computer security incident management
- Motståndskraft/Resilience – continuity of operations och crisis management
Hur skiljer sig säkerhetsåtgärdsattributen i komplexitet?
I och med introduktionen av nya säkerhetsåtgärdsattribut innebär det att säkerhetsåtgärderna de facto blir mer komplicerade, men även mer realistiska i sin natur genom att:
- En säkerhetsåtgärd kan ha flera olika tillämpningar/användningsområden baserat på dess natur.
- En särskilt kritisk risk behöver ofta hanteras med hjälp av flera säkerhetsåtgärder.
- Många av de säkerhetsåtgärder standarden innehåller är inte svartvita utan består ofta av olika smådelar.
Därmed blir det ett större jobb med att definiera säkerhetsåtgärder på ett sätt som fungerar för verksamheten när säkerhetsåtgärder kan falla under olika, eller till och med alla, aspekter av säkerhet.
Det är dock värt att återupprepa att ISO 27002:2022 inte kräver att organisationer som vill certifiera sig behöver använda säkerhetsåtgärdsattribut, det är helt frivilligt. Säkerhetsåtgärdsattribut kan även helt definieras av organisationen själv. ISO/IEC är även i takt med att skapa ett nytt ramverk för att bistå med hjälp inom skapandet av attribut i form av ISO 27028 Guidance on ISO/IEC 27002 attributes.
Hur påverkar uppdateringen ISO 27001-certifierade organisationer?
För organisationer som redan har ett ledningssystem för informationssäkerhet på plats kommer uppdateringen av ISO framför allt innebära att det finns nya säkerhetsåtgärder och strukturer att förhålla sig till. Det betyder även att en omcertifiering krävs gentemot den nya standarden. Övergångsperioden har ännu inte fastställts officiellt, men förväntas ligga på två år i enlighet med tidigare uppdateringar av ISO 27001.
När det väl är dags att uppdatera ledningssystemet är det mest effektiva tillvägagångssättet att ta det steg för steg genom att:
Kartlägga
En gapanalys är ett bra första steg för att kartlägga och förstå skillnaderna mellan de nuvarande säkerhetsåtgärderna och best practice enligt ISO 27001:2022.
Prioritera
Genom att prioritera de säkerhetsåtgärderna som är mest relevanta för din verksamhet kan du fokusera dina insatser och förbättra ditt säkerhetsarbete.
Planera
Skapa en tidslinje som visar när säkerhetsåtgärder kommer att implementeras och beräkna kostnader och resurser.
Genomföra
Det sista steget är den faktiska implementationen av säkerhetsåtgärder och integration av organisationens säkerhetskapacitet och LIS.
Ett bra sätt att sedan följa ändringarna är att:
- Uppdatera din riskbehandlingsprocess med nya säkerhetsåtgärder.
- Uppdatera SOA och se till att den är anpassad till den nya strukturen och numreringen av säkerhetsåtgärder.
- Anpassa vissa avsnitt i befintliga policys och rutiner, samt eventuellt skriva nya dokument relaterade till de nya säkerhetsåtgärderna.
- Introducera säkerhetsåtgärdsattribut (frivilligt) i LIS, som du kan läsa mer om här.
Behöver din organisation hjälp med att anpassa ert befintliga ledningssystem till ISO27002, eller tittar ni på att certifiera er för första gången?
Vi på Sentor har lång erfarenhet av att stötta organisationer genom ISO-certifieringar. Våra konsulter kan bistå med hjälp i allt från att komma igång med arbetet till styrning, definiera relevanta säkerhetsåtgärder och genomförande.
Nu har vi även tagit fram en tvådagarskurs, specifikt för dig som vill veta mer om ISO 27001 och ISO 27002 och vad som krävs för att framgångsrikt implementera standarden i verksamheten. Hör av dig så berättar vi mer!
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel