Ny norsk versjon av NS-EN ISO/IEC 27002
Den populære standarden for informasjonssikkerhetstiltak, NS-EN ISO/IEC 27002, har kommet i en ny og oppdatert norsk utgave. Standarden ble fastsatt som Norsk Standard i september 2022 og inneholder vesentlige endringer sammenlignet med utgaven fra 2013.
NS-EN ISO/IEC 27002 er utformet for organisasjoner av alle typer og størrelser som ønsker å fastsette og implementere sikkerhetstiltak for håndtering av informasjonssikkerhetsrisiko. Standarden kan brukes som referanse i et ledelsessystem for informasjonssikkerhet (ISMS) basert på NS-EN ISO/IEC 27001 eller alene som veiledning.
Oppdaterte kontroller for bedre sikkerhetspraksis
Den nye utgaven av standarden inneholder 93 kontroller fordelt på fire seksjoner: organisasjonskontroller (klausul 5), personkontroller (klausul 6), fysiske kontroller (klausul 7) og teknologiske kontroller (klausul 8). Antall kontroller er redusert fra 114 til 93, noe som reflekterer teknologiske fremskritt og en forbedret forståelse av sikkerhetspraksis.
NS-EN ISO/IEC 27002:2022 inkluderer 11 nye kontroller som er vesentlige i god sikkerhetspraksis, blant annet trusseletterretning, informasjonssikkerhet for bruk av skytjenester, IKT-beredskap i forbindelse med virksomhetskontinuitet, fysisk sikkerhetsovervåkning og sikker koding.
Sikkerhetstiltak med balansert ressursbruk
NS-EN ISO/IEC 27002 inneholder organisatoriske, personellrelaterte, fysiske og teknologiske sikkerhetstiltak for informasjonssikkerhet utledet fra internasjonalt anerkjent god praksis. Sikkerhetstiltak fastsettes av organisasjonen på grunnlag av en risikovurdering og har et klart definert omfang.
Den oppdaterte standarden understreker viktigheten av å balansere ressursbruk og risiko ved å bruke risikovurdering for å prioritere sikkerhetstiltak og ta hensyn til relevante nasjonale og internasjonale lover og forskrifter.