Midagon Company logo
Tillbaka till Bloggen

Nyheterna i ISO 27002

Nu är den efterlängtade uppdateringen av ISO/IEC 27002 släppt! Vi har nu levt med den föregående versionen ända sedan 2013, om än med ett par justeringar under de nio åren som passerat. Vad är skillnaderna på 27002:2013 och 27002:2022 och vad händer härnäst? 

Nu är den efterlängtade uppdateringen av ISO/IEC 27002 släppt! Vi har nu levt med den föregående versionen ända sedan 2013, om än med ett par justeringar under de nio åren som passerat. Vad är skillnaderna på 27002:2013 och 27002:2022 och vad händer härnäst? 

Något förändrat upplägg 

Generellt kan sägas att även om den nya versionen är efterlängtad, så är den kanske inte direkt en revolution. Hur som helst är delar av skillnaderna mot föregångaren riktigt bra, både om man tittar på detaljerna och på standarden i stort. 

En nyhet i 2022 års version av standarden är att varje säkerhetsåtgärd har en hashtag, som relaterar till attribut som är tänkta att tydliggöra säkerhetsåtgärder utifrån exempelvis ett riskperspektiv. Man taggar till exempel en säkerhetsåtgärd som förebyggande, detektiv eller korrigerande. Här finns också en hel bilaga som beskriver hur du arbetar med attribut. Läs mer om OT-säkerhet här.

Har du arbetat mycket i den gamla versionen av ISO/IEC 27002 så vet du att den varit väldigt fragmenterad utifrån var i standarden man hittar olika typer av säkerhetsåtgärder. Exempelvis har du hittat organisatoriska säkerhetsåtgärder i nästintill alla standardens avsnitt, och tekniska säkerhetsåtgärder i nästan lika många, medan personella säkerhetsåtgärder endast återfunnits i ett avsnitt. Detta har gjort det komplicerat att hitta rätt, i synnerhet när man ger sig in i standarden för första gången. En välkommen förändring är att dessa typer av säkerhetsåtgärder nu har delats in i separata avsnitt efter just dess typ: 

5. Organisatoriska säkerhetsåtgärder – 37 st 
6. Personella säkerhetsåtgärder – 8 st 
7. Fysiska säkerhetsåtgärder – 14 st 
8. Tekniska säkerhetsåtgärder – 34 st 

Upplägget känns fräscht, och det gör det sannolikt mycket enklare att som organisation komma i gång med att använda och luta sig mot standarden i sin vardag. 

Färre antal säkerhetsåtgärder, och ett antal helt nya 

I 2022 års version finns det nu alltså 93 säkerhetsåtgärder till skillnad från de 114 som återfanns i 2013 års version, vilket är intressant med tanke på att det i 2022 års version har dykt upp 11 helt nya säkerhetsåtgärder. 

Att standarden kunnat banta ner antalet säkerhetsåtgärder beror på att ca 60 av dem som återfanns i den äldre versionen slagits samman i den nya versionen, vilket uppskattas då det ytterligare förenklar tolkningen av standarden. Att det kommer nya åtgärder är naturligt i och med att hot om omvärld förändrats kraftigt under de nio år som gått. 

Bland dessa helt nya säkerhetsåtgärder märks säkerhetsmässigt välkomna nyheter, såsom övervakning av fysisk säkerhet, analys av hot i omvärlden, webbfiltrering och inte minst informationssäkerhet i molntjänster. Vi återfinner även en och annan säkerhetsåtgärd som nog kommer att utmana i organisationer. Exempelvis ska man nu arbeta aktivt med gallring av information som inte längre behövs, samt mer aktivt motverka informationsläckage. Läs mer om vad en informationstillgång är här.

Det ska också nämnas att ingen av de säkerhetsåtgärder som återfanns i tidigare version har tagits bort i den nya versionen. 

Mål eller syfte 

I 2013 års version talades mycket om mål med informationssäkerhetsarbetet, vilket haft en tydlig linjering mot andra standarder som haft relevans inte minst i certifieringar. När det handlar om säkerhetsåtgärder i ett informationssäkerhetsarbete ska det dock inte handla om att uppfylla mål, utan om att säkra sina informationstillgångar. Detta har författarna tagit till sig, och har nu helt ersatt ”mål” med ”syfte” i den nya versionen. 

Vad händer nu? 

Det som kommer hända härnäst för oss i Sverige är att den svenska versionen beräknas släppas inom kort. Då kan vi komma i gång på riktigt med arbetet att linjera vårt informationssäkerhetsarbete mot den nya versionen – om du inte sitter med ett engelskt ledningssystem för informationssäkerhet förstås. 

Parallellt med översättningsarbeten justeras också ISO/IEC 27001 som beskriver hur ett ledningssystem för informationssäkerhet ska vara uppbyggt och fungera. Det är som bekant också mot just ISO/IEC 27001 som man kan tredjepartscertifiera sig. ISO/IEC 27001 uppdateras framför allt genom att bilaga A justeras för att linjera mot den nya versionen av ISO/IEC 27002. Beräknad publicering av den nya standarden är någonstans i maj-juni.

Tips! Läs även: Det nya NIS 2-direktivet: vad det omfattar och kommer att innebära för dig

Hur kommer vi vidare? 

Grunderna i upplägget har inte förändrats, det är fortfarande organisationens risker som ska ligga till grund för val och implementering av de säkerhetsåtgärder som standarden innehåller. Skillnaderna mellan de gamla och nya versionerna av standarden ska alltså avse säkerhetsåtgärderna i sig och inte era bakom- och underliggande risker. 

Här kan det också vara idé att ta hjälp då det är en hel del nyheter och förändringar. 

Vi på Midagon har den erfarenhet och kompetens som krävs för att analysera ert ledningssystem och komma med en konkret handlingsplan för hur ni behöver uppdatera det gentemot den nya versionen av standarden. Våra specialister inom informationssäkerhetsområdet kan ge er den stöttning ni behöver, inte bara för att analysera ert nuläge gentemot den nya versionen av standarden utan också för att komma vidare med de justeringar som behöver göras. 

Kontakta gärna oss på Midagon här så berättar vi mer. 

Fler blogginlägg