Ny ISO/IEC 27002 och ny Bilaga A i ISO/IEC 27001!

ISO/IEC 27002 är sannolikt den mest spridda standarden inom informationssäkerhetsområdet och utgör mycket av grunden för hela området information security management. ISO/IEC 27002 tillsammans med ISO/IEC 27001 har rankats som några av ISO:s absolut viktigaste standarder med epitetet high profile standards. ISO/IEC 27002 utgör också ett portaldokument som används av diverse fördjupade vägledningar och sektorspecifika standarder.

Under en längre tid har det pågått ett stort arbete inom ISO SC 27 WG1 med att ta fram en helt omarbetad ny version av ISO/IEC 27002. Denna börjar närma sig slutet. Publicering väntas i slutet av 2021 eller i första halvan av 2022.

Bakgrunden till 27002 är att det år 2000 infördes en standard som hette ISO/IEC 17799 och som då byggde på den engelska standarden BS 7799. År 2005 genomfördes en omarbetning och standarden döptes då om till ISO/IEC 27002. Ytterligare en revision publicerades 2013 spm gällt sedan dess (andra utgåvan). Nu kommer alltså en tredje utgåva.

Hela dokumentet har arbetats om med en ny struktur, konsoliderade åtgärder samt en del nya åtgärder. Genom konsolideringen har antalet åtgärder minskat från ursprungliga 114 till 93 trots att en hel del nytt lagts med. Hur är detta möjligt? Tidigare fanns vissa åtgärder som var väldigt grundläggande beskrivna på många ställen vilket skapade ett ganska stort överlapp mellan olika åtgärder. Nu har man minskat detta genom genomförd konsolidering vilket medfört att antalet åtgärder minskats. Alla åtgärder har också omarbetats och moderniserats. Några få har försvunnit medan en hel del nytt införts både i helt nya åtgärder eller ny vägledning i befintliga åtgärder.

Strukturen är helt ny och från att ha 114 åtgärder i 14 avsnitt har man nu delat upp åtgärderna i 4 områden:

  • Organization (37 åtgärder)
  • People (8 åtgärder)
  • Physical (14 åtgärder)
  • Technological (34 åtgärder)

ISO/IEC 27002 är sammankopplad med ISO/IEC 27001 (kravstandarden som man certifierar sig mot) genom Bilaga A som innehåller en lista på åtgärder med målbeskrivning för varje åtgärd. Hur blir det då med denna? Vid pågående möte i SC 27 under denna vecka (vecka 15) beslutades att man ska ta fram en Amendment till 27001 och byta ut bilaga A så den ska stämma med nya versionen av ISO/IEC 27002. Förhoppningen är att denna ska kunna bli klar så nära publiceringen av ISO/IEC 27002 som möjligt.