Informasjonssikkerhetstiltak – NS-EN ISO/IEC 27002
NS-EN ISO/IEC 27002 omhandler informasjonssikkerhet, cybersikkerhet og personvern og beskriver informasjonssikkerhetstiltak som kan brukes alene, eller som referanse i et ledelsessystem for informasjonssikkerhet basert på ISO/IEC 27001.
Et ledelsessystem for informasjonssikkerhet gjør at organisasjonens ledelse og andre interessenter kan være sikre på at deres informasjonsverdier og andre tilknyttede verdier er godt beskyttet mot trusler og skade. Dermed blir det mulig for organisasjonen å oppnå de virksomhetsmålene den har satt seg.
NS-EN ISO/IEC 27002 passer for alle typer virksomheter
NS-EN ISO/IEC 27002 er utformet for organisasjoner av alle typer og størrelser som ønsker å fastsette og implementere sikkerhetstiltak for håndtering av informasjonssikkerhetsrisiko.
Standarden kan brukes som referanse i et ledelsessystem for informasjonssikkerhet (ISMS) basert på ISO/IEC 27001 eller alene som veiledning for virksomheter, som ønsker å jobbe med informasjonssikkerhet.
Informasjon skaper risiko
Organisasjoner oppretter, samler inn, behandler, lagrer, overfører og avhender informasjon i mange former, og det er viktig å beskytte denne informasjonen mot risiko av mange slag. Informasjonssikkerhet oppnås ved å implementere et egnet sett med sikkerhetstiltak, inkludert policyer, regler, prosesser, organisatoriske strukturer og programvare- og maskinvarefunksjoner.
For å oppfylle sine spesifikke sikkerhets- og virksomhetsmål, bør organisasjonen definere, implementere, overvåke, gjennomgå og forbedre sikkerhetstiltakene der det er nødvendig. Et helhetlig, koordinert syn på organisasjonens informasjonssikkerhetsrisikoer kan oppnås gjennom et ISMS-system som beskrevet i ISO/IEC 27001.
Fastsetting av sikkerhetstiltak
NS-EN ISO/IEC 27002 inneholder organisatoriske, personellrelaterte, fysiske og teknologiske sikkerhetstiltak for informasjonssikkerhet utledet fra internasjonalt anerkjent god praksis. Sikkerhetstiltak fastsettes av organisasjonen på grunnlag av en risikovurdering og har et klart definert omfang.
Ved fastsettelse av sikkerhetstiltak bør det tas hensyn til relevante nasjonale og internasjonale lover og forskrifter. Fastsettelse av sikkerhetstiltak er også avhengig av hvordan sikkerhetstiltakene virker sammen for å gi forsvar i dybden.Det er viktig å finne en balanse mellom ressursbruk og risiko, og en risikovurdering bør brukes for å finne ut hvordan sikkerhetstiltak prioriteres.
Nytt innhold i NS-EN ISO/IEC 27002:2022
2022-revisjonen av NS-EN ISO/IEC 27002 er vesentlig endret sammenlignet med utgaven fra 2013. Disse omhandler både sikkerhetskontroller og hvordan man organiserer og bruker dem.
Den nye utgaven har har 93 kontroller i følgende 4 seksjoner:
- Organisasjonskontroller (klausul 5)
- Personkontroller (klausul 6)
- Fysiske kontroller (klausul 7)
Teknologiske kontroller (klausul 8)
Fra 2013-utgaven til 2022-utgaven er antall kontroller redusert fra 114 til 93. Teknologiske fremskritt, og en forbedring av forståelsen av hvordan man bruker sikkerhetspraksis er noe av årsaken til endringene i antall kontroller.
Det er totalt innført 11 nye kontroller som alle er vesentlige i god sikkerhetspraksis:
- 5.7 Trusseletterretning
- 5.23 Informasjonssikkerhet for bruk av skytjenester
- 5.30 IKT-beredskap i forbindelse med virksomhetskontinuitet
- 7.4 Fysisk sikkerhetsovervåkning
- 8.9 Konfigurasjonsstyring
- 8.10 Sletting av informasjon
- 8.11 Datamaskering
- 8.12 Forebygging av datalekkasje
- 8.16 Overvåkingsaktiviteter
- 8.23 Nettstedfiltrering
- 8.28 Sikker koding