ISO 27001:2022 er den seneste version af ISO/IEC 27001-standarden for informationssikkerhed. Den er blevet opdateret for at afspejle det konstant skiftende teknologiske landskab og for at sikre, at organisationer kan beskytte deres data og aktiver mod cybertrusler på effektiv vis.
Anneks A er en integreret del af standarden, der opregner en række klassificerede sikkerhedskontroller, som organisationer kan bruge til at demonstrere compliance.
Anneks A – fra 114 til 93 kontroller
Anneks A indeholdt tidligere 114 kontroller opdelt i 14 kategorier, der dækkede en bred vifte af emner som adgangskontrol, kryptering, kommunikationssikkerhed og hændelsesstyring.
Efter udgivelsen af ISO 27002:2022, som indeholder konkrete værktøjer til at opnå certificering i standarden, har ISO 27001 justeret kontrolmålene i Anneks A.
Den nye version af standarden har samlet kontrolmålene til 93 kontroller, hvoraf nogle er nye, mens andre er blevet revideret for at afstemme det nuværende informationssikkerhedsmiljø og de aktuelle sikkerhedsudfordringer.
Kontrollerne i Anneks A er nu inddelt i fire kategorier:
- Organisatoriske
- Menneskelige
- Fysiske
- Teknologiske
Det er vigtigt at bemærke, at ikke alle kontroller vil være relevante eller nødvendige for alle organisationer. Valget af, hvilke kontroller der skal implementeres, bør være baseret på organisationens specifikke risikovurdering.
LÆS OGSÅ: Hvad betyder opdateringen af ISO 27002 for din organisation?
En gennemgang af kontrolmålene i Anneks A
For at give et mere konkret billede af, hvad Anneks A's kontrolmål indebærer, har vi udvalgt en række af de mest centrale kontrolmål inden for hver af de fire kategorier.
Organisatoriske kontroller
Organisatoriske kontroller handler om den overordnede styring og organisering af informationssikkerheden i organisationen. Disse kontroller er afgørende for at sikre, at organisationen har en klar og effektiv struktur for håndtering af informationssikkerhed.
Det kan eksempelvis være:
Informationssikkerhedspolitik – organisationen skal have en klar og veldefineret politik for informationssikkerhed, der er godkendt af ledelsen.
Roller og ansvar – det skal være klart defineret, hvem der har ansvaret for hvilke aspekter af informationssikkerheden. Det gælder både ledelsesroller og operationelle roller.
Hændelseshåndtering – organisationen skal have klare procedurer for, hvordan potentielle sikkerhedshændelser håndteres. Fra identifikation og rapportering til reaktion og opfølgning.
Risikovurdering og -behandling – organisationen skal regelmæssigt gennemføre risikovurderinger for at identificere potentielle trusler og sårbarheder samt udarbejde en plan for risikobehandling.
Menneskelige kontroller
Menneskelige kontroller fokuserer på de menneskelige aspekter af informationssikkerhed og skal være med til at sikre, at medarbejderne forstår deres rolle og ansvar i forhold til informationssikkerhed.
Det kan eksempelvis være:
Uddannelse og awareness – alle medarbejdere skal have den nødvendige viden og forståelse for at kunne håndtere information sikkert.
Brugeradgangsstyring – der skal være klare procedurer for tildeling og styring af brugerrettigheder til systemer og data, så medarbejderne udelukkende har adgang til de informationer, de har brug for til at udføre deres arbejde.
Brug af mobile enheder – organisationen skal have klare retningslinjer og kontrolforanstaltninger for brugen af mobile enheder og fjernadgang til organisationens systemer og data.
LÆS OGSÅ: Awareness om informationssikkerhed er nøglen til et sikkert digitalt miljø
Fysiske kontroller
Fysiske kontroller handler om de fysiske foranstaltninger, der er nødvendige for at beskytte organisationens information og informationssystemer. Disse kontroller er afgørende for at sikre, at organisationens fysiske infrastruktur er sikret mod både interne og eksterne trusler.
Det kan for eksempel være:
Adgangskontrol – organisationen bør have klare procedurer for, hvem der har adgang til hvilke områder af organisationens faciliteter.
Miljømæssige trusler – der skal tages de rette foranstaltninger for at sikre organisationens faciliteter mod miljømæssige trusler som brand, oversvømmelse og lignende naturkatastrofer.
Sikker bortskaffelse – når udstyr, der indeholder information, skal bortskaffes eller genbruges, skal der være klare retningslinjer for sletning af data, fysisk destruktion og brug af certificerede tjenester for at sikre, at informationer ikke kan blive kompromitteret.
Teknologiske kontroller
Teknologiske kontroller omhandler de tekniske løsninger, der er nødvendige for at beskytte organisationens information.
Det kan eksempelvis være:
Kryptering – organisationen skal have klare retningslinjer for, hvornår og hvordan kryptering af information bruges både i hvile og transit.
Adgangskontrolsystemer – teknologiske systemer til adgangskontrol kan bruges til at styre, hvem der har adgang til hvilke informationer og systemer.
Netværkssikkerhed – organisationens netværk skal være beskyttet mod uautoriseret adgang og angreb. For eksempel gennem firewalls og VPN'er.
Beskyttelse mod malware – det er vigtigt med effektive løsninger til at beskytte mod malware som vira, trojanske heste og ransomware, herunder antivirussoftware og uddannelse af medarbejdere i sikker online adfærd.
Implementering af kontrolmålene
Implementering af ISO 27001 og de tilhørende kontrolmål i Anneks A er en omfattende proces, der kræver både tid og ressourcer. Men det er en investering, der kan give betydelige fordele i form af forbedret informationssikkerhed, øget tillid fra kunder og samarbejdspartnere og overholdelse af lovgivningsmæssige krav.
ISO 27002 er et værdifuldt ISMS-værktøj, der kan hjælpe organisationen med at forstå og implementere kontrolmålene i Anneks A. Den indeholder detaljerede retningslinjer og anbefalinger for hver kontrol, hvilket gør det lettere at identificere de relevante kontroller og implementere dem på en effektiv måde.
Selve implementeringen kræver en systematisk tilgang. Først skal organisationen identificere, hvilke kontroller der er relevante baseret på organisationens specifikke risikovurdering. Dernæst skal der udvikles klare politikker og procedurer for hver kontrol, ligesom det skal sikres, at de implementeres korrekt. Endelig skal der etableres en proces for løbende overvågning og revision af kontrolmålene for at sikre, at de fortsat er effektive og relevante.
Sidstnævnte punkt er værd at være ekstra opmærksom på. Det er vigtigt at huske, at ISO 27001 ikke er en engangsopgave, men en løbende proces, der kræver regelmæssig revurdering og justering for at holde trit med ændringer i organisationens risikomiljø.
LÆS OGSÅ: ISO 27001: Best practices til at sikre informationssikkerheden