ISO 27002:2022 Endringer, oppdateringer og sammenligning

ISO / IEC 27002 har blitt revidert for å oppdatere informasjonssikkerhetskontrollene for å gjenspeile utviklingen og gjeldende informasjonssikkerhetspraksis i ulike sektorer av virksomheter og myndigheter.

I dette innlegget vil vi forklare de viktigste endringene i standarden og hvordan du kan lykkes med dem.

Det finnes et stort antall standarder og andre lignende sikkerhetsrammeverk relatert til eller basert på ISO 27002:2013. Endringen av denne standarden til en ny versjon vil påvirke dem.

ISO 27002 2013 originalt omfang

Hovedformålet med ISO 27002:2013 var å tilby et omfattende informasjonssikkerhets- og aktivastyringsprogram for enhver organisasjon som enten trengte et nytt styringsprogram for informasjonssikkerhet eller ønsket å forbedre sine eksisterende retningslinjer og praksiser for informasjonssikkerhet. Anbefalingen ga anbefalingene for administrere informasjonssikkerhet til de ansvarlige for å initiere, implementere og vedlikeholde informasjonssikkerhet i en organisasjon.

Hva har endret seg i ISO 27002 2022?

I ISO 27002:2022 er navnet på standarden endret. I stedet for "Informasjonsteknologi – Sikkerhetsteknikker – Code of practice for informasjonssikkerhetskontroller”, navnet er nå “Informasjonssikkerhet, Cybersecurity and Privacy Protection – Information security controls” i 2022-revisjonen.

Endringer i compliance-landskapet, f.eks regelverk som f.eks GDPR (generell databeskyttelsesforordning), POPIA (Protection of Personal Information Act), APP-er (australske personvernprinsipper), den utviklende forretningskontinuiteten, cyberrisikoen og samsvarsutfordringene som organisasjoner over hele verden står overfor og innføringen av ISO 27701 resulterte i et behov for ISO 27002 for å utvide omfanget av kontrollene fra dets opprinnelige informasjonssikkerhetsfokus, for å ta hensyn til cybersikkerhet og informasjonsvern og sårbarhetshåndtering.

ISO-organisasjonen håper å forbedre intensjonen ved å gi et referansesett for informasjonssikkerhet kontrollmål for bruk i kontekstspesifikk informasjonssikkerhet, personvern og cybersikkerhetsrisikostyring.

Når gikk den live?

Den nye ISO 27002 2022-revisjonen ble publisert 15. februar 2022.

Tolking av endringene

Vårt førsteinntrykk av den reviderte standarden er at den gir en mer oversiktlig struktur som kan brukes i hele en organisasjon og nå også kan brukes til å administrere en bredere risikoprofil. Dette kan inkludere informasjon sikkerhet og de mer tekniske aspektene ved fysisk sikkerhet, kapitalforvaltning, cybersikkerhet og de menneskelige ressurssikkerhetselementene som følger med personvern.

Den første betydelige endringen i standarden er å gå bort fra en "Code of Practice" og posisjonere den som et sett med kontroller som kan enten stå alene eller eksisterer som en del av et ISO 27001 styringssystem for informasjonssikkerhet.

Hva har forandret seg?

Antall kontroller i den nye versjonen ISO 27002 2022 har gått ned fra 114 kontroller i 14 klausuler i 2013-utgaven til 93 kontroller i 2022-utgaven. Disse kontrollene er nå kategorisert i fire "kontrolltemaer", som er "Organisasjonskontroller", "Folkkontroller", "Fysiske kontroller" og "Teknologiske kontroller."

Hva er en kontroll?

En "kontroll" er definert som et tiltak som modifiserer eller opprettholder risiko. An informasjonssikkerhetspolitikk, for eksempel, kan bare opprettholde risiko, mens overholdelse av informasjonssikkerhetspolicyen kan endre risiko. Dessuten beskriver noen kontroller det samme generiske tiltaket i ulike risikosammenhenger.

Kontrollveiledning

Veiledningsdelen for hver kontroll har blitt gjennomgått og oppdatert (der det er nødvendig) for å gjenspeile gjeldende utvikling og praksis. I tillegg er hver kontroll nå utstyrt med en "Purpose"-erklæring og et sett med "Attributter" for også å forholde seg til cybersikkerhetskonsepter og andre beste praksiser for sikkerhet.

Hvilke kontroller har endret seg?

Innenfor de 93 kontrollene (og sammenlignet med 2013-utgaven) er 11 kontroller nye, 24 er slått sammen og 58 er oppdatert (hovedsakelig for veiledningsdelen).

Kontrollsettene er nå organisert i fire (4) kategorier eller temaer i stedet for fjorten (14) kontrolldomener. De fire kategoriene inkluderer:

• Organisasjons
• Ansatte
• Fysisk
• teknologisk

Det totale kontrollantallet er redusert – det er 21 færre kontroller i den nye versjonen av ISO 27002:2022.

En samlet innsats ble gjort for å unngå kontrollredundans. 2022-versjonen inkluderer 24 kontroller som ble slått sammen fra 2013-versjonen.

Standarden har nå 11 nye kontroller for å gjenspeile gjeldende informasjonssikkerhet, fysisk sikkerhet og cybersikkerhetslandskap.

Kontrollmålet for en gruppe kontroller er erstattet med et «formål»-element i 2022-versjonen.

For å forbedre risikoreduksjons-, vurderings- og behandlingsprosessen har konseptet "attributter til kontroller" blitt introdusert. Dessuten vil du kunne lage forskjellige visninger av kontroller – det vil si kategorisering av kontroller fra et annet perspektiv enn kontrolltemaene.

Nye kontroller

Omfanget av ISO/IEC 27002:2022 viser nå 11 nye kontroller. Disse er:

1. Trusselintelligens – forstå angripere og deres metoder i sammenheng med IT-landskapet ditt.
2. Informasjonssikkerhet for bruk av skytjenester – Introduksjon gjennom drift til exit-strategi angående skyinitiativer må nå vurderes omfattende.
3. IKT-beredskap for forretningskontinuitet – Kravene til IT-landskapet bør utledes fra de overordnede forretningsprosessene og evnen til å gjenopprette operasjonelle evner.
4. Fysisk sikkerhetsovervåking – bruk av alarm- og overvåkingssystemer for å hindre uautorisert fysisk tilgang har fått større vekt.
5. Konfigurasjon ledelse – herding og sikker konfigurasjon av IT-systemer.
6. Informasjonssletting – overholdelse av eksterne krav, slik som konsepter for sletting av databeskyttelse, må implementeres.
7. Datamaskering – bruk av teknikker som maskerer data, for eksempel anonymisering og pseudonymisering, for å styrke databeskyttelsen din.
8. Forebygging av datalekkasje – ta skritt for å forhindre at sensitive data lekkes.
9. Overvåking av aktiviteter – organisasjonen din bør overvåke nettverkssikkerhet og applikasjonsatferd for å oppdage eventuelle nettverksavvik.
10. Web-filtrering – hjelper til med å hindre brukere fra å se spesifikke URL-er som inneholder skadelig kode.
11. Sikker koding – å bruke verktøy, kommentere, spore endringer og unngå usikre programmeringsmetoder er måter å sikre sikker koding på.

Det gir oss:

• 93 kontroller i den nye versjonen av 27002.
• 11 kontroller er nye.
• Totalt 24 kontroller ble slått sammen fra to, tre eller flere kontroller fra 2013-versjonen; og
• 58 kontroller fra 2013-versjonen ble gjennomgått og revidert for å tilpasses det gjeldende miljøet for informasjon sikkerhet og cybersikkerhet.
• vedlegg A, hvilken inkluderer veiledning for bruk av attributter, og
• vedlegg B, som samsvarer med ISO/IEC 27001 2013. Det er i hovedsak en tabell med to tabeller som kryssreferanser til kontrollnumre/identifikatorer for enkel referanse med detaljer om hva som er nytt og hva som er slått sammen.

Hva ER attributter

Den nye versjonen av ISO-standard 27002 introduserer en attributtseksjon for hver kontroll. Attributter er et middel for å kategorisere kontroller. Disse lar deg raskt justere kontrollutvalget etter vanlige bransjespråk og standarder. Disse attributtene identifiserer nøkkelpunkter:

• Kontrolltype
• InfoSec-egenskaper
• Cyber ​​sikkerhet konsepter
• Operasjonelle evner
• Sikkerhetsdomener

Bruken av attributter støtter arbeid som mange bedrifter allerede gjør innenfor sin risikovurdering og erklæring om anvendelighet (SOA).

For eksempel Cybersikkerhetskonsepter fra NIST og CIS-kontroller kan tydelig skilles, og operative evner knyttet til andre standarder kan gjenkjennes.

Hvordan påvirker dette deg?

ISO 27002 2022-revisjonen vil påvirke en organisasjon som følger:

• Hvis du allerede er ISO 27001 2013-sertifisert
• Er du midt sertifisert
• Hvis du er i ferd med å re-sertifisere

ISO 27001-sertifiseringen varer i tre år. Hvis organisasjonen din allerede er sertifisert, trenger du ikke gjøre noe nå, den reviderte ISO 27002 2022-standarden vil gjelde ved fornyelse/resertifisering. Det er derfor naturlig at alle sertifiserte organisasjoner må forberede seg på den reviderte standarden på et tidspunkt.

Hvordan påvirker det (re)sertifiseringen din

Anta at en organisasjon for øyeblikket er i ferd med ISO 27001 2013-sertifisering eller resertifisering. I så fall vil de forventes å gå tilbake til risikovurderingen og identifisere de nye kontrollene som er aktuelle og revidere deres Anvendelseserklæring' ved å sammenligne de reviderte vedlegg A-kontrollene. Siden det er noen nye kontroller og modifiserte eller tilleggsveiledninger til andre kontroller, må organisasjoner gjennomgå den reviderte ISO 27002 for eventuelle implementeringsendringer.

Selv om ISO 27001 revisjon 2022 ennå ikke er publisert, kartlegger vedlegg B til ISO 27002 kontroller mellom 2013- og 2022-versjonene av standarden.

Anvendelseserklæringen din (SOA) bør fortsatt referere til vedlegg A til ISO 27001, mens kontrollene må referere til den reviderte ISO 27002:2022-standarden, som vil være et alternativt kontrollsett.

Trenger du å endre dokumentasjonen din

Overholdelse av disse endringene bør inkludere:

• En oppdatering til din risikobehandlingsprosess med oppdaterte kontroller
• En oppdatering av din Anvendelseserklæring
• Oppdater gjeldende retningslinjer og prosedyrer med veiledning mot hver kontroll der det er nødvendig.

Hvordan påvirker det ISO 27001 2013

Inntil en ny ISO 27001 2022-standard er publisert, vil dagens ISO-sertifiseringsordninger fortsette, selv om kartlegging til de nye ISO 27002 2022-kontrollene vil være nødvendig via vedlegg B og B1.2.

Kommende endringer i ISO 27001

De fleste som følger informasjonssikkerhet forventer at ISO 27001-endringene vil være mindre tekstendringer med en mindre oppdatering av vedlegg A for å tilpasses ISO 27002 2022-revisjonen.

Når vil ISO 27001 bli oppdatert?

ISO 27001 er allment forventet i år (oktober 2022). Denne datoen er spekulativ og må bekreftes.

Er noen andre 27000-standarder berørt?

Ledelsessystemstandarder og rammeverk knyttet til og/eller basert på ISO/IEC 27002:2013-versjonen vil føle endringen. Vanlig brukte standarder og rammeverk som f.eks ISO 27701 (personvern), ISO 27017 (skytjenester) og ISO 27018 (skypersonvern) forventes å følge, og en ytterligere innvirkning kan forventes for lokale standarder og rammeverk.

Er du klar for endringene?

Du kan begynne å forberede organisasjonens styringssystem mot DIS 27001-versjonen (DIS betyr Draft International Standard) eller vent til den reviderte standarden er gjort endelig.

Noen skritt organisasjonen din kan ta for å forberede seg på den reviderte standarden er:

• Fullfør en gapanalyse av de nåværende kontrollene dine mot de nye kontrollene.
• Utfør en risikoanalyse i tråd med de oppdaterte 27002 2022-kontrollene.
• Kartkontroller via vedlegg B mellom ISO 27002:2013 og ISO 27002:2022.
• Forstå hvilke kontroller som gjelder, og oppdater din informasjonssikkerhet styringssystem tilsvarende.
• Utfør oppdateringer av din Anvendelseserklæring.
• Gjennomgå en gjennomgang og oppdatering av din internrevisjon program for å identifisere de oppdaterte kontrollene som kreves.
• Forsikre deg om at sikkerhetsberegninger oppdateres i henhold til din nye risikovurdering og kontroller.
• Oppdater og gjennomgå standarder, prosedyrer og retningslinjer i henhold til endringer i miljøet ditt.
• Ta skritt for å oppdatere organisasjonens Risk Assessment, ettersom du vil oppdatere de eksisterende kontrollene dine.
• Evaluer eventuelle tredjepartsverktøy du bruker for å demonstrere samsvar for å sikre at de kan støtte de nye revisjonene.

Dette vil hjelpe deg med å komme i forkant av spillet for re-sertifisering eller adopsjon av ytterligere ISO 27000 familie standarder/rammeverk, f.eks. ISO 27018, 27017, 27032, som i stor grad forventes å bli oppdatert kort tid etter revisjonen av ISO 27001 2022.

Kan ISMS.online hjelpe deg med overgangen til den nye ISO 27002:2022-revisjonen?

Ja vi kan. Hvis du allerede er kunde, vil vi kontakte deg med et sett med migreringsalternativer snart. Hvis du ikke er kunde, har vi en rekke alternativer for å hjelpe deg migrere styringssystemet for informasjonssikkerhet til ISMS online.