Personer med solglasögon som skrattar en solig dag

Säkerhet

Nyheterna i ISO/IEC 27002:2022

Nu är den efterlängtade uppdateringen av ISO/IEC 27002 släppt! Vi har nu levt med den föregående versionen ända sedan 2013, om än med ett par justeringar under de nio åren som passerat. Vad är skillnaderna på 27002:2013 och 27002:2022 och vad händer härnäst?

Något förändrat upplägg

Generellt kan sägas att även om den nya versionen är efterlängtad, så är den kanske inte direkt en revolution. Hur som helst är delar av skillnaderna mot föregångaren riktigt bra, både om man tittar på detaljerna och på standarden i stort.

En nyhet i 2022 års version av standarden är att varje säkerhetsåtgärd har en hashtag, som relaterar till attribut som är tänkta att tydliggöra säkerhetsåtgärder utifrån exempelvis ett riskperspektiv. Man taggar till exempel en säkerhetsåtgärd som förebyggande, detektiv eller korrigerande. Här finns också en hel bilaga som beskriver hur du arbetar med attribut.

Har du arbetat mycket i den gamla versionen av ISO/IEC 27002 så vet du att den varit väldigt fragmenterad utifrån var i standarden man hittar olika typer av säkerhetsåtgärder. Exempelvis har du hittat organisatoriska säkerhetsåtgärder i nästintill alla standardens avsnitt, och tekniska säkerhetsåtgärder i nästan lika många, medan personella säkerhetsåtgärder endast återfunnits i ett avsnitt. Detta har gjort det komplicerat att hitta rätt, i synnerhet när man ger sig in i standarden för första gången. En välkommen förändring är att dessa typer av säkerhetsåtgärder nu har delats in i separata avsnitt efter just dess typ:

5. Organisatoriska säkerhetsåtgärder – 37 st
6. Personella säkerhetsåtgärder – 8 st
7. Fysiska säkerhetsåtgärder – 14 st
8. Tekniska säkerhetsåtgärder – 34 st

Upplägget känns fräscht, och det gör det sannolikt mycket enklare att som organisation komma i gång med att använda och luta sig mot standarden i sin vardag.

Färre antal säkerhetsåtgärder, och ett antal helt nya

I 2022 års version finns det nu alltså 93 säkerhetsåtgärder till skillnad från de 114 som återfanns i 2013 års version, vilket är intressant med tanke på att det i 2022 års version har dykt upp 11 helt nya säkerhetsåtgärder.

Att standarden kunnat banta ner antalet säkerhetsåtgärder beror på att ca 60 av dem som återfanns i den äldre versionen slagits samman i den nya versionen, vilket uppskattas då det ytterligare förenklar tolkningen av standarden. Att det kommer nya åtgärder är naturligt i och med att hot om omvärld förändrats kraftigt under de nio år som gått.

Bland dessa helt nya säkerhetsåtgärder märks säkerhetsmässigt välkomna nyheter, såsom övervakning av fysisk säkerhet, analys av hot i omvärlden, webbfiltrering och inte minst informationssäkerhet i molntjänster. Vi återfinner även en och annan säkerhetsåtgärd som nog kommer att utmana i organisationer. Exempelvis ska man nu arbeta aktivt med gallring av information som inte längre behövs, samt mer aktivt motverka informationsläckage.

Det ska också nämnas att ingen av de säkerhetsåtgärder som återfanns i tidigare version har tagits bort i den nya versionen.

Mål eller syfte

I 2013 års version talades mycket om mål med informationssäkerhetsarbetet, vilket haft en tydlig linjering mot andra standarder som haft relevans inte minst i certifieringar. När det handlar om säkerhetsåtgärder i ett informationssäkerhetsarbete ska det dock inte handla om att uppfylla mål, utan om att säkra sina informationstillgångar. Detta har författarna tagit till sig, och har nu helt ersatt ”mål” med ”syfte” i den nya versionen.

Vad händer nu?

Det som kommer hända härnäst för oss i Sverige är att den svenska versionen beräknas släppas inom kort. Då kan vi komma i gång på riktigt med arbetet att linjera vårt informationssäkerhetsarbete mot den nya versionen – om du inte sitter med ett engelskt ledningssystem för informationssäkerhet förstås.

Parallellt med översättningsarbeten justeras också ISO/IEC 27001 som beskriver hur ett ledningssystem för informationssäkerhet ska vara uppbyggt och fungera. Det är som bekant också mot just ISO/IEC 27001 som man kan tredjepartscertifiera sig. ISO/IEC 27001 uppdateras framför allt genom att bilaga A justeras för att linjera mot den nya versionen av ISO/IEC 27002. Beräknad publicering av den nya standarden är någonstans i maj-juni.

Hur kommer vi vidare?

Grunderna i upplägget har inte förändrats, det är fortfarande organisationens risker som ska ligga till grund för val och implementering av de säkerhetsåtgärder som standarden innehåller. Skillnaderna mellan de gamla och nya versionerna av standarden ska alltså avse säkerhetsåtgärderna i sig och inte era bakom- och underliggande risker.

  • Om er organisation har ett befintligt implementerat ledningssystem för informationssäkerhet byggt på 2013 års version av standarderna är det en god idé att komma i gång med de nödvändiga justeringar som krävs i ledningssystemet snarast möjligt, om inte annat så snart den svenska versionen har publicerats. I nya ISO/IEC 27002 finns bilaga B med översättningstabell mellan säkerhetsåtgärderna i den gamla och nya versionen. Ni behöver även analysera de 11 nya säkerhetsåtgärderna och hur ni ska ställa er till dem.
  • Är ni certifierade mot ISO/IEC 27001 så kommer ni ha tillgång till en övergångsperiod innan ledningssystemet måste vara uppdaterat. Tidigare har sådana övergångsperioder varit på två år.
  • Är er organisation på gång med att bygga upp och implementera ett ledningssystem för informationssäkerhet enligt ISO/IEC 27000-serien är det en god idé att börja direkt med de nya versionerna. Har arbetet redan påbörjats rekommenderar vi att redan nu justera arbetet som gjorts för att linjera mot nya versionen.

Här kan det också vara idé att ta hjälp då det är en hel del nyheter och förändringar.

Vi på Kontract har den erfarenhet och kompetens som krävs för att analysera ert ledningssystem och komma med en konkret handlingsplan för hur ni behöver uppdatera det gentemot den nya versionen av standarden. Våra specialister inom informationssäkerhetsområdet kan ge er den stöttning ni behöver, inte bara för att analysera ert nuläge gentemot den nya versionen av standarden utan också för att komma vidare med de justeringar som behöver göras.

Publicerat den 28 april 2022
Får vi bjuda på en kaka? Denna webbplats använder cookies. Läs mer i vår cookiepolicy.