Ska-krav i ISO 27001 bilaga A?

I punkt 6.1.3 i ISO 27001 nämns för första gången bilaga A. Här konstateras att organisationen ska gå igenom sina egna säkerhetsåtgärder och jämföra med de som tas upp i bilaga A. Dessutom ska organisationen skapa ett uttalande om tillämplighet och där berätta hur man förhåller sig till åtgärderna i bilaga A.

Så vad betyder det i praktiken?

Bilaga A och dess 114 säkerhetsåtgärder (i 2013 års version) är i praktiken ska-krav. Det vill säga, organisationen ska förhålla sig till åtgärderna i bilagan på ett eller annat sätt:

  1. Uteslutning – ”åtgärden berör inte oss”.
    Om en åtgärd helt uppenbart inte berör organisationen utesluter man den. Man berättar i en motivering i sitt uttalande om tillämplighet varför man anser att den inte är tillämplig. Exempelvis, om ni inte utvecklas mjukvara är det mesta i A.14.2 inte aktuellt. För de flesta är det aktuellt med vissa uteslutningar, men revisorn kommer utmana samtliga av dem och dess motiveringar.
  2. Implementerad:
    Om en åtgärd inte kan eller bör uteslutas så behöver den implementeras. I de flesta organisationer som arbetat några år med IT-säkerhet i praktiken har normalt infört många åtgärder redan. Berätta hur.
  3. Att implementera (handlingsplan):
    Åtgärder som inte kan/bör uteslutas ska implementeras om det ännu inte är gjort. Berätta i uttalandet att det ska implementeras, status, ansvarig och när det förväntas vara klart.

Slutsats

Bilaga A och dess 114 åtgärder är ska-krav, men det innebär alltså inte nödvändigtvis att åtgärderna ska vara implementerade. Det är helt okej att ha en handlingsplan för sådant som ännu inte är klart. Ta hjälp med att utveckla ett uttalande om tillämplighet som fungerar för just din organisation – det finns många exempel på Internet men det är trots allt komplicerat att få till det på ett bra sätt. Ta också gärna hjälp med att bedöma vilka säkerhetsåtgärder som är tillämpningsbara för just er.

Mattias Sjödin

Jag arbetar till vardags som CISO inom finansvärlden med bakgrund både som CISO inom IT-branchen och som konsult inom informations- och cybersäkerhet, med bevisad kompetens och erfarenhet i ryggen genom bland annat CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.