Sedan en dryg månad är den nya versionen av ISO/IEC 27002 publicerad i 2022 års utgåva. Det är en efterlängtad uppdatering av ISO 27002 som nu är publicerad. Trots allt har vi levt med den gamla versionen sedan 2013 och under de nio åren som gått har det naturligtvis hänt mycket i omvärlden som påverkar hur vi behöver arbeta med informationssäkerhet.
Förändringarna i korthet
Här är en summering av förändringarna i 2022 års utgåva jämfört med den gamla:
- 114 säkerhetsåtgärder är nu 93
- Säkerhetsåtgärderna är uppdelade i Organisatoriska, Personella, Tekniska och Fysiska.
- Elva säkerhetsåtgärder är helt nya
- Ett sextiotal åtgärder från den gamla har slagits samman i den nya versionen
- ”Mål” har blivit ”Syfte”
- Man har tillfört attribut till säkerhetsåtgärderna
Avsnittsindelning
I tidigare version spretade det väldigt mycket – de organisatoriska säkerhetsåtgärderna hittade man i många av avsnitten, samma sak med tekniska medan personella och fysiska varit mer samlade. Nu ligger de samlade:
- Organisatoriska säkerhetsåtgärder (37 st)
- Personella säkerhetsåtgärder (8 st)
- Fysiska säkerhetsåtgärder (14 st)
- Tekniska säkerhetsåtgärder (34 st)
Det är alltså även fortsatt störst fokus på det organisatoriska tätt följt av det tekniska i informationssäkerhetsarbetet vilket är logiskt och väl återspeglar verkligheten i vardagen. Avsnittsindelningen gör det mycket enklare att komma igång med ISO 27002 (och därmed i förlängningen också med ISO 27001) i och med att det inte är så splittrat.
Attribut
En nyhet värd att utveckla mer är att det nu finns attribut kopplade till säkerhetsåtgärderna i form av #taggar. En säkerhetsåtgärd taggas exempelvis som förebyggande, detektiv eller korrigerande enskilt eller i kombination. Syftet är att man ska få förståelse för i vilket kontext man inför en åtgärd.
Mål och syfte
I tidigare version tog standarden upp målet med införandet av en säkerhetsåtgärd – nu är det ersatt med syfte. Även detta en välkommen förändring i mitt tycke eftersom det inte ska handla om att uppfylla mål när man inför säkerhetsåtgärder utan det ska ha ett tydligt syfte.
Komma vidare
Själva grunden är densamma som tidigare i att det är organisationens risker som ska ligga bakom val av säkerhetsåtgärder och implementationer. Även om informationssäkerhetsriskerna ska gås igenom med regelbundenhet så är det inte nödvändigt i samband med de justeringar som krävs för linjering mot nya ISO 27002.
Den svenska översättningen beräknas publiceras redan under andra kvartalet 2022, och här beräknas också en uppdaterad version av ISO 27001 publiceras. Här handlar det framför allt om en uppdaterad Bilaga A som är linjerad mot nu gällande version av ISO 27002.
- Om organisationen redan har ett implementerat LIS byggt på den gamla versionen behöver ni snarast komma igång med linjering mot den nya versionen. Som hjälp finns bilaga B i 2022 års version av standarden för mappning mellan versionerna. Utöver det kommer det krävas att ni utvärderar de elva nya kontrollerna och planerar för implementation av dessa.
- Är ni certifierade mot ISO 27001 har ni en övergångsperiod att uppdatera ledningssystemet, normalt är övergångsperioden två år när det kommer nya versioner av standarder.
- Om ni håller på att bygga upp och implementera ett LIS är det klokt att redan nu se över vilka justeringar som behöver göras för att det ska stämma överens med nu gällande version – trots allt så har den nya versionen ersatt den gamla.
Och inte minst – det är aldrig en dålig idé att ta hjälp i såväl arbetet med att analysera gapen mellan ett befintligt LIS och nya versionen av standarden som att ta fram en handlingsplan.
