I denne artikel skal vi have et grundigt kig på opdateringerne i ISO 27002, og hvordan det påvirker din organisation. Men vi vil gerne starte et helt andet sted. Nemlig ved ISO 27001 og forskellen på denne og dens nære makker ISO 27002 – det bliver nemlig hurtigt lidt forvirrende.
ISO 27001 vs. 27002: Hvad er forskellen?
For at forstå forskellen, er det vigtigt at kende den overordnede ISO 27000; en serie af internationale standarder om informationssikkerhed som både ISO 27001 og ISO 27002 hører ind under.
ISO 27001 beskriver de konkrete krav til it-sikkerhedsledelse (ISMS), og det er denne standard, du som organisation kan blive certificeret i.
ISO 27002 beskriver code of practice – altså de håndgribelige værktøjer og processer der er nødvendige for at blive certificeret i ISO 27001.
I begyndelsen af 2022 udkom ISO 27002 i en opdateret udgave, hvor blandt andet antallet af foranstaltninger er reduceret betragteligt, ligesom strukturen er ændret.
En værktøjskasse til risikohåndtering og informationssikkerhed
ISO 27002 kan benyttes som en inspirationskilde, når organisationen skal udpege og etablere de nødvendige foranstaltninger i forbindelse med at implementere et ISMS.
Standarden henvender sig til alle organisationer, der tilstræber en systematisk tilgang til arbejdet med informationssikkerhed, og i særdeleshed til dig der ønsker at blive ISO 27001-certificeret. På baggrund af organisationens risikoprofil udvælges de foranstaltninger i ISO 27001 Anneks A, som er relevante for at opnå passende beskyttelse, og derefter vejleder ISO 27002 i, hvordan processer, procedurer og politikker kan etableres og optimeres for at imødegå kravene.
Som nævnt blev ISO 27002 opdateret i begyndelse af 2022, og neden for tager vi et kig på, hvordan opdateringerne påvirker din organisation.
LÆS OGSÅ: Forstå hovedprincipperne i informationssikkerhed
Hvorfor er ISO 27002 blevet opdateret?
Den seneste markante ændring i ISO 27002 fandt sted i 2013, og derudover har der været mindre ændringer i 2017. Med den fart teknologien har på, har informationssikkerhed, cybersikkerhed og risici for privatlivets fred ændret sig drastisk de seneste år, og en opdatering af standarden har derfor været tiltrængt.
Informationssikkerhed er et tilbagevendende punkt hos langt de fleste organisationer, og den opdaterede standard hjælper organisationerne med at håndtere de skiftende informationssikkerhedsscenarier. Blandt andet ved at:
- tage højde for nye scenarier og risici
- hjælpe med at forstå andre sikkerhedsperspektiver
- dykke yderligere ned i cybersikkerhed og beskyttelse af privatlivets fred
- indføre nye kontroller for at sikre, at nye scenarier og risici ikke overses.
ISO 27002 indeholder i alt 93 foranstaltninger, som omfatter anbefalinger til både politikker, processer, procedurer, organisationsstrukturer samt software- og hardwarefunktioner.
Væsentlige ændringer i den nye standard
Udover en ny struktur er antallet i den opdaterede version af ISO 27002 reduceret, ligesom der benyttes en række nye perspektiver til belysning af enkelte foranstaltninger.
Neden for har vi samlet et overblik over de væsentligste ændringer i standarden, og vi har lænet os op ad Dansk Standards White Paper ”Den nye ISO/IEC 27002-standard”, der inddeler ændringerne i følgende afsnit:
- Tematisk struktur
- Nye og ændrede foranstaltninger
- Anvendelse af attributter
- Supplerende annekser
1) Tematisk struktur – fra 14 til 4 kapitler
Før opdateringen var ISO 27002 inddelt i 14 kapitler med til sammen 114 foranstaltninger fordelt på forskellige sikkerhedstemaer. I den nye standard er dette ændret til fire kapitler – eller fire temaer: organisatorisk, adfærdsmæssig, fysisk og teknologisk.
De enkelte foranstaltninger er placeret inden for det tema, der vurderes som mest centralt. For eksempel vil beskyttelse mod malware hører til under temaet ”teknologisk foranstaltning”.
2) Nye og ændrede foranstaltninger – fra 114 til 93
Opdateringen af ISO 27002 har ført til en reducering i antallet af foranstaltninger, så den nu indeholder 93 mod de forhenværende 114.
Reduceringen skyldes først og fremmest en sammenlægning af en række forskellige foranstaltninger, der vurderes til at være en del af den samme proces. Derudover er der taget højde for væsentlige overlap foranstaltningerne imellem, ligesom de hver især har fået et markant ansigtsløft, så de matcher moderne teknologiske udfordringer inden for informationssikkerhed.
3) Anvendelse af attributter – flere perspektiver på ISMS
En helt ny ting i den reviderede standard er anvendelsen af attributter. Ud for hver enkelt foranstaltning er der indsat et diagram med fem attributter, som synliggør de egenskaber, der følger med den pågældende foranstaltning – for eksempel ”forebyggende” eller ”fortrolighed”.
Attributterne er inddelt i følgende perspektiver:
- Type af foranstaltning: forebyggende, opdagende og korrigerende
- Egenskaber for informationssikkerhed: fortrolighed, integritet og tilgængelighed
- Cybersikkerhedskoncept: identify, protect, detect, respond og recover
- Operationelle ressourcer: generelle, fysiske, system- eller programrelaterede og øvrige
- Sikkerhedsdomæner: governance, protection, defense og resilience
4) Supplerende annekser
Endnu en ny tilføjelse til ISO 27002 er to annekser.
Det første (Anneks A) redegør for, hvordan de fem attributter kan benyttes i henhold til ISO 27001, mens det andet (Anneks B) giver en hjælpende hånd i forbindelse med revision af arbejdet med ISO 27001.
Hvad betyder opdateringen for din organisation?
Overordnet set giver standardens nye struktur en større brugervenlighed blandt andet i forbindelse med at belyse foranstaltningernes forskellige egenskaber. Dermed bliver den også et mere anvendeligt værktøj, når investeringer i informationssikkerhed skal forklares og forstås af topledelsen. Det bliver med de overordnede temaer nemmere at forklare sammenhænge mellem konkrete sikkerhedstiltag og organisationens målsætninger for informationssikkerhed.
Rent praktisk er der ingen krav til, at din organisation implementerer den nye version af standarden. Det vigtigste er stadig, at der er sammenhæng mellem de processer, organisation har, samt de sikkerhedsforanstaltninger ISO 27001 kræver.
For nogle vil det dog give mening at benytte den nye ISO 27002, særligt hvis organisationen har stort fokus på leverandørstyring og cybersikkerhed, som er to områder, hvor den opdaterede standard er blevet stærkere og ikke mindst tilpasset de udfordringer, 2022 byder på i den henseende. Husk dog, at blot fordi din organisation anvender en tidligere version af standarden, så er det ikke ensbetydende med, at der er manglende sikkerhedsforanstaltninger, eftersom det altid har været muligt at supplere med andre frameworks.
LÆS OGSÅ: Sådan kommer du i gang med at blive ISO 27001-certificeret