ISO 27002:2022 – En uppdatering för informationssäkerhet

Nu diskuteras det – Den senaste revideringen av DIN ISO 27000-serien. Och det ser annorlunda ut. Men låter den nya strukturen bekant igen, eller hur? Ta reda på i ett nötskal vilka innovationer den förpublicerade ISO 27002: 2022 för med sig ur rent operativ synvinkel.

När man ser tillbaka framträder bilden att ISO-standarder normalt får ett nytt lager färg vart femte till sjunde år. Inom informationssäkerhet är DIN EN ISO/IEC 27001:2013 för närvarande den refererade certifieringsstandarden. Framöver bör organisationer därför ges en tvåårig övergångsperiod från officiella tillkännagivanden från Internationella standardiseringsorganisationen (ISO) tills den grundläggande certifieringen är anpassad.

Läs vidare för att ta reda på vilka förändringar den nya revisionen, den medföljande standarden ISO 27002, kommer att medföra och vilken inverkan detta kommer att ha på kraven i bilaga A till ISO 27001.

Vad är ISO 27002 i en värld av oändliga ISO-standarder?

En guide. Det är precis vad ISO 27002 är. I konstruktionen av ISO-standarder talar vi om standarder som kan certifieras, deras bilagor och tillhörande standarder som fördjupar genomförandet av nödvändiga åtgärder och definierar bästa praxis och minimikriterier. Om du följer dessa steg och strikt följer kraven i ISO 27002 säkerställs överensstämmelse med bilaga A till ISO 27001. Det kan antas att detta kommer att revideras på ett kongruent sätt med den lokala revisionen lika snabbt.

I allmänhet inkluderar dock de mest kända ISO-standarderna ISO 9001 för kvalitetshantering, ISO 14001 för energihantering och utan tvekan ISO 27000-serien av standarder för informationssäkerhetshantering.

Vad har förändrats i den nya 2022-versionen av ISO 27002?

Det första som fångar läsarens öga är att den nya versionen av standarden verkligen är längre än sin föregångare, liksom kontrollordningen - kontroller har slagits samman, uppdaterats och nyskapats. Å andra sidan raderades inga kontroller.

  • Alla kontroller tilldelas nu till fyra olika grupper, i stället för de tidigare 14:
  1. Personer (8 kontroller)
  2. Organisatorisk (37 kontroller)
  3. Teknisk (34 kontroller)
  4. Fysisk (14 kontroller)
  • ISO 27002:2022 innehåller nu 93 istället för 112 kontroller i 2013 års version.
  • Följande 11 kontroller har lagts till i ramverket på ett tematiskt meningsfullt sätt: 
  1. Hotinformation
  2. Informationssäkerhet för användning av molntjänster
  3. IKT-beredskap för affärskontinuitet
  4. Övervakning av fysisk säkerhet
  5. Konfigurationshantering
  6. Radering av information
  7. Datamaskering
  8. Förebyggande av dataläckage
  9. Övervakning av aktiviteter
  10. Webbfiltrering
  11. Säker kodning 

Möjlig anpassning av certifieringsgrunden ISO 27001:2013

Det kan antas att strukturen i ISO 27001, dvs. strukturen enligt standardkapitel 4 -10, till stor del kommer att bibehållas, men det kommer att bli mindre justeringar.

När 2022-versionen av ISO 27001 blir referens bör det antas att

  • Befintliga riskhanteringsprocesser måste anpassas till nya kontroller.
  • att "Förklaring om tillämplighet" behöver ses över.
  • att den politiska ramen och dokumentationen bör kompletteras,
  • att nya regler och åtgärder ska kommuniceras i hela organisationen.

Enligt aktuell information kommer den nya versionen av ISO 27001 att släppas i oktober i år. Ett exakt datum har ännu inte publicerats. 

Det bör inte förbises att skyddet av åtkomst, hanteringen av privilegierade användarrättigheter och hanteringen av externa användare förblir ett fokusområde för standarden.

Dessutom ingår särskild övervakning av verksamheten och "förebyggande av dataläckage" i kravförteckningen.

Implementera krav ad hoc med VISULOX ISO 27002 

Översatt innebär detta att kontrollen av administrativ åtkomst och en fullständig dokumentation av privilegierad användaråtkomst samt kontroll av överförd information i allt högre grad krävs. De nya versionerna av bästa praxis och rekommendationer på dessa områden tyder inte längre på att motsvarande minimikrav kan hanteras rent organisatoriskt.

Enligt den nya klassificeringen av kontroller i kategorier stöder VISULOX ett stort antal krav i ISO 27002:2022 adhoc:

  • 20 av 37 på området för organisatoriska kontroller, inklusive
    • Åtkomstkontroll
    • Informationsöverföring
    • Informationssäkerhet i leverantörsrelationer
    • Skydd av register
    • Insamling av bevis
    • ...
  • 2 av 8 på området personkontroller
    • Distansarbete
    • Rapportering av informationssäkerhetshändelse
  • 1 av 7 på området för fysiska kontroller
    • Underhåll av utrustning
  • 19 av 34 på området tekniska kontroller
    • Begränsningar för informationsåtkomst
    • Privilegierade åtkomsträttigheter
    • Radering av information
    • Tillgång till källkod
    • Förändringsledning
    • ...

Kontakta oss gärna för en detaljerad lista över alla kontroller av ISO 27001:2022 där vi kan stötta dig med introduktionen av vår PAM-lösning VISULOX audit-fest. Vi ger dig också gärna en kartläggning av ISO 27001:2013 till kontrollerna i ISO 27001:2022. VISULOX är en holistisk PAM-lösning för kontroll, kontroll och fullständig dokumentation av alla kritiska privilegierade användaraktiviteter inom din IT- och OT-infrastruktur

VISULOX har utvecklats av amitego i Stuttgart sedan 2003 och används och utvecklas kontinuerligt över hela världen av medelstora till Fortune 500-kunder.

Ta reda på mer.

Vi har ännu fler ämnen som vi gillar att skriva om.

Så här skyddar du data från utflöde

Så här skyddar du data från utflöde

Vill du själv styra överföringen av data och information mellan IT-system? Med VISULOX enligt informationsklassificeringar för att skydda mot dataläckage.

Cookie-samtycke med riktig cookie-banner