ISO/IEC 27002:2022 snart klar som Norsk Standard
I februar kom ISO ut med en ny oppdatert utgave av standarden ISO/IEC 27002:2022. Prosessen for EN-adopsjon av ISO/IEC 27002 har startet, og når denne er klar vil Standard Norge fastsette standarden som Norsk Standard.
Inntil EN-versjonen er klar vil det det ligge to utgaver av av ISO/IEC 27002 i vår nettbutikk – 2017-utgaven som er en NS-EN ISO/IEC og den nye 2022-utgaven som ISO/IEC. Sistnevnte er også tilgjengelig som NEK ISO/IEC.
ISO/IEC 27002 er en mye brukt standard som omhandler sikringsteknikker av informasjonsteknologi. Innholdet er en detaljert beskrivelse av praktisk IT-sikkerhetsarbeid og den nye utgaven er på hele 155 sider. Standard Norge har allerede startet med en norsk utgave som vil være tilgjengelig i løpet av 2022.
Nytt innhold
Den nye 2022-revisjonen av ISO/IEC 27002 har fått noen vesentlige endringer sammenlignet med ISO 27002:2017. Disse omhandler både kontroller og hvordan man organiserer og bruker dem.
Den nye ISO 27002 har 93 kontroller i følgende 4 seksjoner:
- Organisasjonskontroller (klausul 5)
- Personkontroller (klausul 6)
- Fysiske kontroller (klausul 7)
- Teknologiske kontroller (klausul 8)
Fra 2013-utgaven til 2022-utgaven er antall kontroller redusert fra 114 til 93. Teknologiske fremskritt, og en forbedring av forståelsen av hvordan man bruker sikkerhetspraksis er noe av årsaken til disse endringene i antall kontroller.
Det er totalt innført 11 nye kontroller som alle er vesentlige i god sikkerhetspraksis:
- 5.7 Trusseletterretning
- 5.23 Informasjonssikkerhet for bruk av skytjenester
- 5.30 IKT-beredskap for forretningskontinuitet
- 7.4 Fysisk sikkerhetsovervåking
- 8.9 Konfigurasjonsadministrasjon
- 8.10 Informasjonssletting
- 8.11 Datamaskering
- 8.12 Forebygging av datalekkasje
- 8.16 Overvåkingsaktiviteter
- 8.23 Nettfiltrering
- 8.28 Sikker koding
Implikasjoner for ISMS
Hvis du allerede har styringssystemet for informasjonssikkerhet implementert i henhold til NS-EN ISO/IEC 27001, trenger du ikke bekymre deg for mye foreløpig – uansett hvilke endringer den nye ISO 27002-revisjonen har medført, vil det være en overgangsperiode på 2 år for sertifiserte selskaper, og den perioden starter først etter at ISO 27001 er offisielt oppdatert for å samsvare med disse nye kontrollene.
Når disse nye kontrollene blir en del av ISO 27001 vedlegg A, må du følge disse trinnene:
- Gjennomgå risikobehandlingen og sørg for at den er på linje med den nye strukturen og nummereringen av kontroller
- Juster listen over kontroller i Anvendelseserklæringen
- Oppdater retningslinjene og prosedyrene dine, og skriv potensielt nye dokumenter relatert til de nye kontrollene