iso 27002 2022 revisioner

ISO 27002:2022 Ändringar, uppdateringar och jämförelser

ISO / IEC 27002 har reviderats för att uppdatera informationssäkerhetskontrollerna för att återspegla utvecklingen och nuvarande informationssäkerhetspraxis inom olika sektorer av företag och myndigheter.

I det här inlägget kommer vi att förklara de viktigaste förändringarna i standarden och hur du framgångsrikt kan närma dig dem.

Det finns ett stort antal standarder och andra liknande säkerhetsramverk relaterade till eller baserade på ISO 27002:2013. Ändringen av denna standard till en ny version kommer att påverka dem.

Få ett försprång på ISO 27002
  • Allt uppdaterat med 2022 kontrollset
  • Gör upp till 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda

Boka din demo

ISO 27002 2013 original omfattning

Det primära syftet med ISO 27002:2013 var att tillhandahålla ett omfattande program för informationssäkerhet och tillgångshantering för alla organisationer som antingen behövde ett nytt hanteringsprogram för informationssäkerhet eller ville förbättra sina befintliga policyer och rutiner för informationssäkerhet. Uppförandekoden gav rekommendationerna för hantera informationssäkerhet till dem som ansvarar för att initiera, implementera och upprätthålla informationssäkerhet i en organisation.

Vad har förändrats i ISO 27002 2022?

I ISO 27002:2022 har namnet på standarden ändrats. Istället för "Informationsteknologi – Säkerhetstekniker – Uppförandekod för informationssäkerhetskontroller”, namnet är nu ”Informationssäkerhet, Cybersäkerhet och integritetsskydd – Informationssäkerhetskontroller” i 2022 års revision.

Förändringar i efterlevnadslandskapet, t ex regelverk som t.ex GDPR (allmän dataskyddsförordning), POPIA (Protection of Personal Information Act), APPs (Australian Privacy Principles), den växande affärskontinuiteten, cyberrisker och efterlevnadsutmaningar som organisationer runt om i världen står inför och införandet av ISO 27701 resulterade i ett behov av ISO 27002 för att bredda omfattningen av dess kontroller från dess ursprungliga informationssäkerhetsfokus, för att ta hänsyn till cybersäkerhet och informationssekretess och sårbarhetshantering.

ISO-organisationen hoppas kunna förbättra avsikten genom att tillhandahålla en referensuppsättning för informationssäkerhet kontrollmål för användning i kontextspecifik informationssäkerhet, integritets- och cybersäkerhetsriskhantering.

När gick den live?

Den nya ISO 27002 2022-revisionen publicerades den 15 februari 2022.

Tolka förändringarna

Vårt första intryck av den reviderade standarden är att den ger en mer okomplicerad struktur som kan tillämpas i hela organisationen och nu även kan användas för att hantera en bredare riskprofil. Detta kan innehålla information säkerhet och de mer tekniska aspekterna av fysisk säkerhet, tillgångshantering, cybersäkerhet och de mänskliga resursernas säkerhetselement som följer med integritetsskyddet.

Den första betydande förändringen av standarden är att gå bort från en "Code of Practice" och placera den som en uppsättning kontroller som kan antingen självständig eller finns som en del av ett ISO 27001 ledningssystem för informationssäkerhet.

Vad har förändrats?

Antalet kontroller i den nya versionen ISO 27002 2022 har minskat från 114 kontroller i 14 klausuler i 2013 års upplaga till 93 kontroller i 2022 års upplaga. Dessa kontroller är nu kategoriserade i fyra kontroll-"teman", som är "Organisationskontroller", "Människorkontroller", "Fysiska kontroller" och "Teknologiska kontroller."

Vad är en kontroll?

En "kontroll" definieras som en åtgärd som modifierar eller upprätthåller risk. En informationssäkerhetspolicy, till exempel, kan bara upprätthålla risk, medan efterlevnad av informationssäkerhetspolicyn kan ändra risken. Dessutom beskriver vissa kontroller samma generiska mått i olika risksammanhang.

Kontrollvägledning

Vägledningssektionen för varje kontroll har granskats och uppdaterats (vid behov) för att återspegla aktuell utveckling och praxis. Dessutom är varje kontroll nu utrustad med ett "Syfte"-uttalande och en uppsättning "attribut" för att även relatera till cybersäkerhetskoncept och andra bästa säkerhetspraxis.

Vilka kontroller har ändrats?

Inom de 93 kontrollerna (och jämfört med 2013 års utgåva) är 11 kontroller nya, 24 är sammanslagna och 58 är uppdaterade (främst för vägledningssektionen).

Kontrolluppsättningarna är nu organiserade i fyra (4) kategorier eller teman istället för fjorton (14) kontrolldomäner. De fyra kategorierna inkluderar:

  • organisations~~POS=TRUNC

  • Personer

  • Mått

  • Teknologisk

Det totala antalet kontroller har minskat – det finns 21 kontroller färre i den nya versionen av ISO 27002:2022.

En samlad ansträngning gjordes för att undvika kontrollövertalighet. 2022-versionen innehåller 24 kontroller som slogs samman från 2013 års version.

Standarden har nu 11 nya kontroller för att återspegla den aktuella informationssäkerheten, fysisk säkerhet och cybersäkerhetslandskap.

Kontrollmålet för en grupp kontroller har ersatts av ett "syfte"-element i 2022 års version.

För att förbättra riskreduceringen, bedömningen och behandlingsprocessen har begreppet "attribut till kontroller" införts. Dessutom kommer du att kunna skapa olika vyer av kontroller – det vill säga kategoriseringar av kontroller från ett annat perspektiv än kontrollteman.

Nya kontroller

Omfattningen av ISO/IEC 27002:2022 listar nu 11 nya kontroller. Dessa är:

  1. Hot intelligens – förstå angripare och deras metoder i ditt IT-landskap.

  2. Informationssäkerhet för användning av molntjänster – Introduktionen genom drift till exit-strategin avseende molninitiativ behöver nu övervägas heltäckande.

  3. ICT-beredskap för kontinuitet i verksamheten – Kraven på IT-landskapet bör härledas från de övergripande affärsprocesserna och förmågan att återställa operativ förmåga.

  4. Fysisk säkerhetsövervakning – användningen av larm- och övervakningssystem för att förhindra obehörig fysisk åtkomst har fått allt större vikt.

  5. konfiguration management – ​​härdning och säker konfiguration av IT-system.

  6. Radering av information – efterlevnad av externa krav, såsom koncept för radering av dataskydd måste implementeras.

  7. Datamaskering – med hjälp av tekniker som maskerar data, såsom anonymisering och pseudonymisering, för att stärka ditt dataskydd.

  8. Förebyggande av dataläckage – vidta åtgärder för att förhindra att känslig data läcker.

  9. Övervakning av aktiviteter – din organisation bör övervaka nätverkssäkerhet och programbeteende för att upptäcka eventuella nätverksavvikelser.

  10. Webbfiltrering – hjälper till att förhindra användare från att se specifika webbadresser som innehåller skadlig kod.

  11. Säker kodning – att använda verktyg, kommentera, spåra ändringar och undvika osäkra programmeringsmetoder är sätt att säkerställa säker kodning.

Det ger oss:

  • 93 kontroller i den nya versionen av 27002.

  • 11 kontroller är nya.

  • Totalt 24 kontroller slogs samman från två, tre eller fler kontroller från 2013 års version; och

  • 58 kontroller från 2013 års version granskades och reviderades för att anpassas till den nuvarande miljön för information säkerhet och cybersäkerhet.

  • Bilaga A, som innehåller vägledning för tillämpning av attribut, och

  • Bilaga B, som överensstämmer med ISO/IEC 27001 2013. Det är i princip två tabeller tabeller som korsreferenser kontrollnummer/identifierare för enkel referens som beskriver vad som är nytt och vad som har slagits samman.

Vad ÄR attribut

Den nya versionen av ISO-standard 27002 introducerar en attributsektion för varje kontroll. Attribut är ett sätt att kategorisera kontroller. Dessa gör att du snabbt kan anpassa ditt kontrollval till vanliga branschspråk och standarder. Dessa attribut identifierar nyckelpunkter:

  • Kontrolltyp

  • InfoSec-egenskaper

  • Cybersäkerhet Begreppen

  • Operativ förmåga

  • Säkerhetsdomäner

Användningen av attribut stödjer arbete som många företag redan gör inom sin riskbedömning och uttalande om tillämplighet (SOA).

Till exempel, den Cybersäkerhetskoncept från NIST och CIS-kontroller kan tydligt särskiljas och den operativa förmågan som är relaterad till andra standarder kan erkännas.

Hur påverkar detta dig?

Revideringen av ISO 27002 2022 kommer att påverka en organisation enligt följande:

  • Om du redan är ISO 27001 2013 certifierad

  • Är du halvcertifierad

  • Om du är på väg att omcertifiera

ISO 27001-certifieringen varar i tre år. Om din organisation redan är certifierad behöver du inte göra något nu, den reviderade ISO 27002 2022-standarden kommer att tillämpas vid förnyelse/omcertifiering. Det är därför naturligt att alla certifierade organisationer kommer att behöva förbereda sig för den reviderade standarden i något skede.

Hur påverkar det din (om)certifiering

Anta att en organisation för närvarande håller på att certifieras eller omcertifieras enligt ISO 27001 2013. I så fall kommer de att förväntas se över sin riskbedömning och identifiera de nya kontrollerna som tillämpliga och revidera deras" Tillämpningsförklaring" genom att jämföra de reviderade kontrollerna i bilaga A. Eftersom det finns några nya kontroller och modifierad eller ytterligare vägledning till andra kontroller, måste organisationer se över den reviderade ISO 27002 för eventuella implementeringsändringar.

Även om ISO 27001 revision 2022 ännu inte har publicerats, kartlägger bilaga B till ISO 27002 kontroller mellan 2013 och 2022 års versioner av standarden.

Ditt uttalande om tillämplighet (SOA) bör fortfarande hänvisa till bilaga A till ISO 27001, medan kontrollerna måste referera till den reviderade standarden ISO 27002:2022, som kommer att vara en alternativ kontrolluppsättning.

Behöver du ändra din dokumentation

Att följa dessa ändringar bör inkludera:

  • En uppdatering till din riskbehandlingsprocessen med uppdaterade kontroller

  • En uppdatering av din tillämplighetsförklaring

  • Uppdatera dina nuvarande policyer och procedurer med vägledning mot varje kontroll vid behov.

Ladda ner vår gratis guide till snabb och hållbar certifiering

cta-bild

Hur påverkar det ISO 27001 2013

Tills en ny ISO 27001 2022-standard publiceras kommer de nuvarande ISO-certifieringssystemen att fortsätta, även om kartläggning till de nya ISO 27002 2022-kontrollerna kommer att krävas via bilaga B och B1.2.

Kommande ändringar av ISO 27001

De flesta som följer informationssäkerhet förväntar sig att ISO 27001-ändringarna kommer att vara mindre textändringar med en mindre uppdatering av bilaga A för att anpassas till ISO 27002 2022-revideringen.

När kommer ISO 27001 att uppdateras?

ISO 27001 förväntas allmänt i år (oktober 2022). Detta datum är spekulativt och måste bekräftas.

Påverkas några andra 27000-standarder?

Ledningssystemstandarder och ramverk relaterade till och/eller baserade på ISO/IEC 27002:2013-versionen kommer att känna förändringen. Vanligt använda standarder och ramverk som t.ex ISO 27701 (sekretess), ISO 27017 (molntjänster) och ISO 27018 (molnsekretess) förväntas följa, och ytterligare effekter kan förväntas för lokala standarder och ramverk.

Är du redo för förändringarna?

Du kan börja förbereda din organisations ledningssystem mot DIS 27001-versionen (DIS betyder Draft International Standard) eller vänta tills den reviderade standarden är slutgiltig.

Några steg som din organisation kan vidta för att förbereda sig för den reviderade standarden är:

  • Slutför en gapanalys av dina nuvarande kontroller mot de nya kontrollerna.

  • Utför en riskanalys i linje med de uppdaterade 27002 2022-kontrollerna.

  • Kartkontroller via Annex B mellan ISO 27002:2013 och ISO 27002:2022.

  • Förstå vilka kontroller som är tillämpliga och uppdatera dina informationssäkerhet ledningssystem i enlighet därmed.

  • Utför uppdateringar av din tillämplighetsförklaring.

  • Genomgå en granskning och uppdatering av din internrevision program för att identifiera de uppdaterade kontrollerna som krävs.

  • Se till att din Säkerhetsmått uppdateras enligt din nya riskbedömning och kontroller.

  • Uppdatera och granska standarder, procedurer och policyer enligt förändringar i din miljö.

  • Vidta åtgärder för att uppdatera din organisations Riskbedömning, eftersom du kommer att uppdatera dina befintliga kontroller.

  • Utvärdera eventuella verktyg från tredje part som du använder för att visa efterlevnad för att säkerställa att de kan stödja de nya revisionerna.

Detta hjälper dig att komma före i spelet för omcertifiering eller antagande av ytterligare ISO 27000 familj standarder/ramverk, t.ex. ISO 27018, 27017, 27032, som i stor utsträckning förväntas uppdateras kort efter ISO 27001 2022-revideringen.

Kan ISMS.online hjälpa dig att gå över till den nya ISO 27002:2022-revisionen?

Ja det kan vi. Om du redan är kund kommer vi att kontakta dig med en uppsättning migreringsalternativ inom kort. Om du inte är kund har vi en rad olika alternativ för att hjälpa dig migrera ditt hanteringssystem för informationssäkerhet till ISMS online.

Redo att vidta åtgärder?

Boka din demo

cta-bild

Senast redigerad: 30 juni 2022
Författare

Max Edwards

Max arbetar som en del av ISMS.online-marknadsföringsteamet och ser till att vår webbplats uppdateras med användbart innehåll och information om allt som rör ISO 27001, 27002 och efterlevnad.

Visa alla inlägg av Max Edwards

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer