iso 27002 2022 revisioner

ISO 27002:2022 Ændringer, opdateringer og sammenligning

ISO / IEC 27002 er blevet revideret for at opdatere informationssikkerhedskontrollerne for at afspejle udviklingen og nuværende informationssikkerhedspraksis i forskellige sektorer af virksomheder og regeringer.

I dette indlæg vil vi forklare de vigtigste ændringer i standarden, og hvordan du med succes kan gribe dem an.

Der er et stort antal standarder og andre lignende sikkerhedsrammer relateret til eller baseret på ISO 27002:2013. Ændringen af ​​denne standard til en ny version vil påvirke dem.

Få et forspring på ISO 27002
  • Alt sammen opdateret med 2022 kontrolsættet
  • Gør op til 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge

Book din demo

ISO 27002 2013 originalt omfang

Det primære formål med ISO 27002:2013 var at levere et omfattende informationssikkerheds- og aktivstyringsprogram til enhver organisation, der enten havde brug for et nyt informationssikkerhedsstyringsprogram eller ønskede at forbedre sine eksisterende informationssikkerhedspolitikker og -praksis. Kodekset gav anbefalingerne vedr styring af informationssikkerhed til de ansvarlige for at igangsætte, implementere og vedligeholde informationssikkerhed i en organisation.

Hvad er ændret i ISO 27002 2022?

I ISO 27002:2022 er navnet på standarden ændret. I stedet for "Informationsteknologi – Sikkerhedsteknikker – Code of practice for informationssikkerhedskontroller”, navnet er nu “Informationssikkerhed, Cybersikkerhed og privatlivsbeskyttelse – Informationssikkerhedskontroller” i 2022-revisionen.

Ændringer i compliance-landskabet, fx regler som f.eks GDPR (General Data Protection Regulation), POPIA (lov om beskyttelse af personlige oplysninger), APP'er (australske privatlivsprincipper), den udviklende forretningskontinuitet, cyberrisici og compliance-udfordringer, som organisationer over hele verden står over for og indførelsen af ​​ISO 27701 resulterede i et behov for ISO 27002 for at udvide omfanget af sine kontroller fra dets oprindelige informationssikkerhedsfokus for at tage højde for cybersikkerhed og informationsbeskyttelse og sårbarhedsstyring.

ISO-organisationen håber at forbedre hensigten ved at levere et referencesæt til informationssikkerhed kontrolmål til brug i kontekstspecifik informationssikkerhed, privatliv og cybersikkerhedsrisikostyring.

Hvornår gik den live?

Den nye ISO 27002 2022-revision blev offentliggjort den 15. februar 2022.

Fortolkning af ændringerne

Vores første indtryk af den reviderede standard er, at den giver en mere ligetil struktur, der kan anvendes i hele en organisation og nu også kan bruges til at styre en bredere risikoprofil. Dette kan omfatte oplysninger sikkerhed og de mere tekniske aspekter af fysisk sikkerhed, asset management, cybersikkerhed og de menneskelige ressourcesikkerhedselementer, der følger med privatlivsbeskyttelse.

Den første væsentlige ændring af standarden er at bevæge sig væk fra en "Code of Practice" og placere den som et sæt kontroller, der kan enten stå alene eller eksisterer som en del af et ISO 27001 informationssikkerhedsstyringssystem.

Hvad har ændret sig?

Antallet af kontroller i den nye version ISO 27002 2022 er faldet fra 114 kontroller i 14 klausuler i 2013-udgaven til 93 kontroller i 2022-udgaven. Disse kontroller er nu kategoriseret i fire kontrol-"temaer", som er "Organisatoriske kontroller", "People controls", "Fysiske kontroller" og "Teknologiske kontroller."

Hvad er en kontrol?

En "kontrol" er defineret som en foranstaltning, der modificerer eller fastholder risiko. An informationssikkerhedspolitikkan f.eks. kun opretholde risiko, hvorimod overholdelse af informationssikkerhedspolitikken kan ændre risiko. Desuden beskriver nogle kontroller den samme generiske foranstaltning i forskellige risikosammenhænge.

Kontrolvejledning

Vejledningssektionen for hver kontrol er blevet gennemgået og opdateret (hvor det er nødvendigt) for at afspejle den aktuelle udvikling og praksis. Derudover er hver kontrol nu udstyret med en 'Purpose'-erklæring og et sæt "Attributter" for også at relatere til cybersikkerhedskoncepter og andre bedste sikkerhedspraksis.

Hvilke kontroller har ændret sig?

Inden for de 93 kontroller (og sammenlignet med 2013-udgaven) er 11 kontroller nye, 24 er slået sammen og 58 er opdateret (hovedsageligt til afsnittet Vejledning).

Kontrolsættene er nu organiseret i fire (4) kategorier eller temaer i stedet for fjorten (14) kontroldomæner. De fire kategorier omfatter:

  • Organisatorisk

  • Mennesker

  • Fysisk

  • Teknologisk

Det samlede kontrolantal er blevet reduceret - der er 21 færre kontroller i den nye version af ISO 27002:2022.

Der blev gjort en fælles indsats for at undgå kontrolredundans. 2022-versionen inkluderer 24 kontroller, der blev slået sammen fra 2013-versionen.

Standarden har nu 11 nye kontroller for at afspejle den aktuelle informationssikkerhed, fysisk sikkerhed og cybersikkerhedslandskab.

Kontrolmålet for en gruppe kontroller er blevet erstattet af et "formål"-element i 2022-versionen.

For at forbedre risikoreduktions-, vurderings- og behandlingsprocessen er begrebet "egenskaber til kontroller" blevet introduceret. Desuden vil du være i stand til at skabe forskellige visninger af kontroller – det vil sige kategoriseringer af kontroller fra et andet perspektiv end kontroltemaerne.

Nye kontroller

Omfanget af ISO/IEC 27002:2022 viser nu 11 nye kontroller. Disse er:

  1. Trusselsintelligens – at forstå angribere og deres metoder i sammenhæng med dit IT-landskab.

  2. Informationssikkerhed til brug af cloud-tjenester – introduktion gennem drift til exit-strategi vedrørende cloud-initiativer skal nu overvejes grundigt.

  3. IKT-parathed til forretningskontinuitet – Kravene til it-landskabet bør udledes af de overordnede forretningsprocesser og evnen til at genvinde operationelle kapaciteter.

  4. Fysisk sikkerhedsovervågning – brugen af ​​alarm- og overvågningssystemer til at forhindre uautoriseret fysisk adgang har fået større vægt.

  5. Konfiguration ledelse – hærdning og sikker konfiguration af IT-systemer.

  6. Informationssletning – overholdelse af eksterne krav, såsom databeskyttelsessletningskoncepter, skal implementeres.

  7. Datamaskering – brug af teknikker, der maskerer data, såsom anonymisering og pseudonymisering, for at styrke din databeskyttelse.

  8. Forebyggelse af datalækage – tage skridt til at forhindre, at følsomme data bliver lækket.

  9. Overvågning af aktiviteter – din organisation bør overvåge netværkssikkerhed og applikationsadfærd for at opdage eventuelle netværksfejl.

  10. Webfiltrering – hjælper med at forhindre brugere i at se specifikke URL'er, der indeholder ondsindet kode.

  11. Sikker kodning – at bruge værktøjer, kommentere, spore ændringer og undgå usikre programmeringsmetoder er måder at sikre sikker kodning på.

Det giver os:

  • 93 kontroller i den nye version af 27002.

  • 11 kontroller er nye.

  • I alt 24 kontroller blev slået sammen fra to, tre eller flere kontroller fra 2013-versionen; og

  • 58 kontroller fra 2013-versionen blev gennemgået og revideret for at tilpasse sig det nuværende miljø for information sikkerhed og cybersikkerhed.

  • bilag A, som omfatter vejledning til anvendelse af attributter, og

  • bilag B, som svarer til ISO/IEC 27001 2013. Det er grundlæggende en tabel med to tabeller, der krydshenvisninger til kontrolnumre/identifikatorer for at lette referencen med detaljer om, hvad der er nyt, og hvad der er slået sammen.

Hvad ER egenskaber

Den nye version af ISO-standard 27002 introducerer en attributsektion til hver kontrol. Attributter er et middel til at kategorisere kontroller. Disse giver dig mulighed for hurtigt at tilpasse dit kontrolvalg til almindeligt branchesprog og standarder. Disse attributter identificerer nøglepunkter:

  • Kontroltype

  • InfoSec egenskaber

  • Cyber ​​sikkerhed begreber

  • Operationelle kapaciteter

  • Sikkerhedsdomæner

Brugen af ​​attributter understøtter arbejde, som mange virksomheder allerede udfører inden for deres risikovurdering og erklæring om anvendelighed (SOA).

For eksempel Cybersikkerhedskoncepter fra NIST og CIS-kontroller kan tydeligt skelnes, og de operationelle kapaciteter relateret til andre standarder kan genkendes.

Hvordan påvirker dette dig?

ISO 27002 2022-revisionen vil påvirke en organisation som følger:

  • Hvis du allerede er ISO 27001 2013 certificeret

  • Er du midt certificering

  • Hvis du er ved at gencertificere

ISO 27001-certificeringen varer i tre år. Hvis din organisation allerede er certificeret, behøver du ikke gøre noget nu, den reviderede ISO 27002 2022-standard vil være gældende ved fornyelse/gencertificering. Det er derfor naturligt, at alle certificerede organisationer skal forberede sig på den reviderede standard på et tidspunkt.

Hvordan påvirker det din (gen)certificering

Antag, at en organisation i øjeblikket er i gang med ISO 27001 2013-certificering eller -gencertificering. I så fald forventes de at revidere deres risikovurdering og identificere de nye kontroller, som er relevante og revidere deres Anvendelseserklæring" ved at sammenligne de reviderede bilag A-kontroller. Da der er nogle nye kontroller og ændret eller yderligere vejledning til andre kontroller, er organisationer nødt til at gennemgå den reviderede ISO 27002 for eventuelle implementeringsændringer.

Selvom ISO 27001 revision 2022 endnu ikke er offentliggjort, kortlægger bilag B til ISO 27002 kontroller mellem 2013- og 2022-versionerne af standarden.

Din erklæring om anvendelighed (SOA) bør stadig henvise til bilag A til ISO 27001, mens kontrollerne skal referere til den reviderede ISO 27002:2022 standard, som vil være et alternativt kontrolsæt.

Har du brug for at ændre din dokumentation

Overholdelse af disse ændringer bør omfatte:

  • En opdatering til din risikobehandlingsproces med opdaterede kontroller

  • En opdatering af din Anvendelseserklæring

  • Opdater dine nuværende politikker og procedurer med vejledning mod hver kontrol, hvor det er nødvendigt.

Download vores gratis guide til hurtig og bæredygtig certificering

cta billede

Hvordan påvirker det ISO 27001 2013

Indtil en ny ISO 27001 2022-standard er offentliggjort, vil de nuværende ISO-certificeringsordninger fortsætte, selvom kortlægning til de nye ISO 27002 2022-kontroller vil være påkrævet via bilag B & B1.2.

Kommende ændringer til ISO 27001

De fleste mennesker, der følger informationssikkerhed, forventer, at ISO 27001-ændringerne vil være mindre tekstmæssige ændringer med en mindre opdatering af bilag A for at tilpasse sig ISO 27002 2022-revisionen.

Hvornår vil ISO 27001 blive opdateret?

ISO 27001 forventes bredt i år (oktober 2022). Denne dato er spekulativ og skal bekræftes.

Er andre 27000-standarder berørt?

Ledelsessystemstandarder og rammer relateret til og/eller baseret på ISO/IEC 27002:2013-versionen vil mærke forandringen. Almindelig brugte standarder og rammer som f.eks ISO 27701 (privatliv), ISO 27017 (cloud services) og ISO 27018 (cloud privacy) forventes at følge, og en yderligere indvirkning kan forventes for lokale standarder og rammer.

Er du klar til ændringerne?

Du kan begynde at forberede din organisations styringssystem mod DIS 27001-versionen (DIS betyder Draft International Standard) eller vent, indtil den reviderede standard er gjort endelig.

Nogle trin, din organisation kan tage for at forberede sig på den reviderede standard, er:

  • Gennemfør en gapanalyse af dine nuværende kontroller i forhold til de nye kontroller.

  • Udfør en risikoanalyse i overensstemmelse med de opdaterede 27002 2022 kontroller.

  • Kortstyringer via Annex B mellem ISO 27002:2013 og ISO 27002:2022.

  • Forstå hvilke kontroller der er gældende, og opdater din informationssikkerhed ledelsessystem i overensstemmelse hermed.

  • Udfør opdateringer af din Anvendelseserklæring.

  • Gennemgå en gennemgang og opdatering af din intern revision program til at identificere de nødvendige opdaterede kontroller.

  • Sørg for din sikkerhedsmålinger opdateres i henhold til din nye risikovurdering og kontrol.

  • Opdater og gennemgå standarder, procedurer og politikker i henhold til ændringer i dit miljø.

  • Tag skridt til at opdatere din organisations Risikovurdering, da du vil opdatere dine eksisterende kontroller.

  • Evaluer eventuelle tredjepartsværktøjer, du bruger til i øjeblikket at demonstrere overholdelse, for at sikre, at de kan understøtte de nye revisioner.

Dette vil hjælpe dig med at komme foran spillet for re-certificering eller vedtagelse af yderligere ISO 27000 familie standarder/rammer, fx ISO 27018, 27017, 27032, som i vid udstrækning forventes at blive opdateret kort efter ISO 27001 2022-revisionen.

Kan ISMS.online hjælpe dig med overgangen til den nye ISO 27002:2022-revision?

Ja vi kan. Hvis du allerede er kunde, kontakter vi dig snart med et sæt migreringsmuligheder. Hvis du ikke er kunde, har vi en række muligheder for at hjælpe dig migrer dit informationssikkerhedsstyringssystem til ISMS online.

Klar til at tage affære?

Book din demo

cta billede

Sidst redigeret: 30. juni 2022
Forfatter

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Se alle indlæg af Max Edwards

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere