ISO 27001:2022 är den senaste versionen av ISO/IEC 27001-standarden för informationssäkerhet. Den har uppdaterats för att återspegla det ständigt föränderliga tekniska landskapet och för att säkerställa att organisationer effektivt kan skydda sin data och tillgångar från cyberangrepp.
Bilaga A är en integrerad del av standarden och innehåller en rad säkerhetsåtgärder som organisationer kan använda för att visa att de uppfyller kraven.
Bilaga A - från 114 till 93 kontrollmått
Bilaga A innehöll tidigare 114 kontrollmått uppdelade i 14 kategorier som omfattade ett brett spektrum av ämnen som åtkomstkontroll, kryptering, kommunikationssäkerhet och incidenthantering.
Efter lanseringen av ISO 27002:2022, som ger konkreta verktyg för att uppnå certifiering enligt standarden, har ISO 27001 justerat kontrollmåtten i bilaga A.
Den nya versionen av standarden har samlat måtten till 93 kontrollåtgärder, varav några är nya, och andra har reviderats för att bättre anpassas till den nuvarande informationssäkerhetsmiljön och säkerhetsutmaningarna.
Åtgärderna i bilaga A är nu indelat i fyra kategorier:
- Organisatoriska
- Mänskliga
- Fysiska
- Tekniska
Varje åtgärd har också delats in i en attributtaxonomi - en tabell med föreslagna attribut som visualiserar de egenskaper som är förknippade med åtgärden i fråga - till exempel "förebyggande" eller "sekretess".
LÄS ÄVEN: Vad innebär uppdateringen av ISO 27002 för din organisation?
Det är viktigt att notera att inte alla åtgärder kommer att vara relevanta eller nödvändiga för alla organisationer. Valet av vilka åtgärder som ska genomföras bör grunda sig på organisationens specifika riskbedömningar.
En genomgång av säkerhetsåtgärderna i bilaga A
För att ge en mer konkret bild av vad bilaga A:s säkerhetsåtgärder innebär har vi valt ut ett antal av de mest centrala kontrollmåtten inom de fyra kategorierna.
Organisatoriska åtgärder
Organisatoriska åtgärder handlar om den övergripande hanteringen och organiseringen av informationssäkerheten i organisationen. Dessa åtgärder är nödvändiga för att säkerställa att organisationen har en tydlig och effektiv struktur för hantering av informationssäkerhet.
Exempel på organisatoriska åtgärder är:
Policy för informationssäkerhet – organisationen måste ha en tydlig och väldefinierad policy för informationssäkerhet som godkänts av ledningen.
Roller och ansvar – det måste vara tydligt definierat vem som är ansvarig för vilka aspekter av informationssäkerheten. Detta gäller både lednings- och operativa roller.
Incidenthantering – organisationen bör ha tydliga rutiner för hur potentiella säkerhetsincidenter ska hanteras. Från identifiering och rapportering till respons och uppföljning.
Riskbedömning och riskhantering – organisationen bör regelbundet genomföra riskbedömningar för att identifiera potentiella hot och sårbarheter och utarbeta en riskhanteringsplan.
Mänskliga åtgärder
Mänskliga åtgärder fokuserar på de mänskliga aspekterna av informationssäkerhet och bidrar till att säkerställa att de anställda förstår sina roller och ansvarsområden i samband med informationssäkerhet.
Exempel på mänskliga åtgärder är:
Utbildning och medvetenhet – alla anställda måste ha den kunskap och förståelse som krävs för att hantera information på ett säkert sätt.
Hantering av användarrättigheter – det måste finnas tydliga rutiner för att tilldela och hantera användarrättigheter till system och data så att de anställda bara har tillgång till den information de behöver för att utföra sitt arbete.
Användning av mobila enheter – organisationen måste ha tydliga riktlinjer och åtgärder för användning av mobila enheter och fjärråtkomst till organisationens system och data.
LÄS ÄVEN: Medvetenhet om informationssäkerhet är nyckeln till en säker digital miljö
Fysiska åtgärder
Fysiska åtgärder är de fysiska åtgärder som behövs för att skydda organisationens information och informationssystem. Dessa åtgärder är nödvändiga för att säkerställa att organisationens fysiska infrastruktur är säkrad mot både interna och externa hot.
Några exempel på fysiska åtgärder är:
Tillträdeskontroll – organisationen bör ha tydliga rutiner för vem som har tillträde till vilka områden i organisationens anläggningar.
Miljöhot – rätt åtgärder ska vidtas för att säkra organisationens anläggning från miljöhot som brand, översvämning och liknande naturkatastrofer.
Säkert bortskaffande – när utrustning som innehåller information måste bortskaffas eller återvinnas bör det finnas tydliga riktlinjer för radering av data, fysisk destruktion och användning av certifierade tjänster för att säkerställa att informationen inte kan äventyras.
Tekniska åtgärder
Med tekniska åtgärder avses de tekniska lösningar som behövs för att skydda organisationens information.
Exempel på tekniska åtgärder är:
Kryptering – organisationen måste ha tydliga riktlinjer för när och hur kryptering av information används, både i vila och i transit.
Åtkomstkontrollsystem – tekniska åtkomstkontrollsystem kan användas för att hantera vem som har tillgång till vilken information och vilka system.
Nätverkssäkerhet – organisationens nätverk måste skyddas mot obehörig åtkomst och angrepp. Till exempel genom brandväggar och VPN.
Skydd mot malware – effektiva lösningar för att skydda mot malware som virus, trojaner och ransomware är viktiga, inklusive antivirusprogram och utbildning av anställda om säkert beteende på nätet.
Implementering av kontrollmåtten
Att implementera ISO 27001 och de tillhörande kontrollmåtten i bilaga A är en omfattande process som kräver tid och resurser. Det är dock en investering som kan ge betydande fördelar i form av förbättrad informationssäkerhet, ökat förtroende från kunder och affärspartners samt efterlevnad av lagstadgade krav.
ISO 27002:2022 är ett värdefullt verktyg som hjälper organisationer att förstå och implementera kontrollmåtten i bilaga A. Den innehåller detaljerade riktlinjer och rekommendationer för varje målsättning, vilket gör det lättare att identifiera relevanta åtgärder och genomföra dem på ett effektivt sätt.
Själva genomförandet kräver ett systematiskt tillvägagångssätt. Först måste organisationen identifiera vilka åtgärder som är relevanta utifrån organisationens specifika riskbedömning. Därefter ska tydliga riktlinjer och förfaranden tas fram för varje kontroll och det ska säkerställas att de genomförs korrekt. Slutligen ska man fastställa en process för löpande övervakning och översyn av säkerhetsmålen för att säkerställa att de förblir effektiva och relevanta.
Den sistnämnda punkten bör man vara extra uppmärksam på. Det är viktigt att komma ihåg att ISO 27001 inte är en engångsuppgift, utan en pågående process som kräver regelbunden omprövning och justering för att hålla jämna steg med förändringar i organisationens riskmiljö.
LÄS ÄVEN: ISO 27001: Bästa praxis för att säkerställa informationssäkerhet