Blog
IRM360 B.V. Marcel Lavalette 31 marts 2022
New ISO 27002:2022
Hvad betyder det for CyberManager og ISO 27001?
Siden februar er der blevet udviklet en ny ISO/IEC 27002:2022. Vores kunder i Holland stiller os flere spørgsmål om den nye ISO. I denne blog diskuterer vi:
- Ny ISO/IEC 27002:2022-standard
- ISO 27001 er ikke det samme som ISO 27002
- ISO 27001-audit og certifikat, bilag A og SOA
- Hvordan adskiller den nye ISO 27002:2022 sig fra den tidligere?
- Hvad har den nye ISO 27002 at gøre med min ISO 27001-certificering?
- Vil der være nogen ændringer i CyberManager med hensyn til indhold og funktionalitet?
1) Ny ISO/IEC 27002:2022-standard
ISO/IEC 27002:2022 er efterfølgeren til ISO/IEC 27002:2013. Der er en del forvirring omkring dette, fordi den i Holland er tilgængelig som NEN-EN-ISO/IEC 27002:2017. Hvad er årsagen til denne forskel i betegnelse og årstal?
Den Internationale Standardiseringsorganisation (ISO) udarbejder standarder. Organisationen er et partnerskab mellem nationale standardiseringsorganisationer i 163 lande, ligesom NEN i Holland. På internationalt plan arbejder ISO sammen med IEC, den internationale elektrotekniske kommission, hvilket er grunden til, at nogle standarder har betegnelsen ISO/IEC. NEN står for det hollandske standardiseringsinstitut, der er ansvarligt for at registrere standarder. EN-betegnelsen står for European Standardisation Organisation og gælder for hele Europa. De nationale standardiseringsinstitutter som NEN udgiver derefter disse i deres egne lande. En NEN-EN ISO/IEC-standard betyder derfor, at der er tale om en international standard, som også er blevet accepteret i Europa og i Holland af NEN. Ofte er der en tilføjelse som NL for at indikere, at den også er tilgængelig på hollandsk.
Fordi der kan gå tid mellem oversættelsen og/eller harmoniseringen af en international standard med lokal lovgivning, kan der være en forskel i indhold (minimal) og offentliggørelse. Men i princippet er den "nationale" NEN-EN-ISO/IEC 27002:2017-standard den samme som ISO/IEC 27002:2013.
2) ISO 27001 er ikke det samme som ISO 27002
ISO 27001 er en globalt anerkendt standard inden for informationssikkerhed. Det såkaldte Information Security Management System, (ISMS) beskriver implementeringen af processen til kontrol af informationssikkerhedsrisici. Det er i øjeblikket kun muligt at blive certificeret i henhold til ISO 27001-standarden.
De aktuelle versioner er:
- ISO/IEC 27001:2013 (international) og faktisk stadig den aktuelle standard
- NEN-EN-ISO/IEC 27001:2017
3) ISO 27001-audit og -certifikat, bilag A og SOA
En ISO 27001-audit fokuserer primært på processikringen, ISMS, men under auditten testes også de kontrolforanstaltninger, der er beskrevet i bilag A i ISO 27001-standarddokumentet. Bilag A er en liste over kontrolforanstaltninger, og disse er taget fra ISO 27002, herunder nummerering, kapitler og sektioner, men de er ikke de samme.
ISO 27002-standarden går længere end blot denne liste over kontrolforanstaltninger og giver for hver kontrolforanstaltning en mere dybdegående analyse i form af "bedste praksis" (eventuelt teknikker, der skal anvendes, arbejdsmetoder osv.
Det står dig frit for at anvende andre kontrolforanstaltninger (dine egne eller fra andre standarder som CIS, NIST-CSF osv.), så længe du påviseligt overholder kontrolforanstaltningerne i bilag A.
For hver kontrolforanstaltning skal du angive, om den er gældende eller ej, og om den er blevet implementeret eller ej. Du erklærer dette i den såkaldte Statement of Applicability (SOA). Denne SOA indeholder referencen til den version, der blev brugt under ISO 27001-auditten, f.eks. EN-EN-ISO/IEC 27001:2017 +A11:2020.
Hey, endnu en indikation "+A11:2020"? Denne "+A11" henviser til de ændringer, der er foretaget af NEN, og ":2020" til det år, hvor ændringen blev foretaget. NEN bruger sin egen nummerering for den samme standard i Holland, hvilket kan være forvirrende. Andre lande kan også bruge deres "egen" anderledes nummerering.
Jeg håber, at du stadig forstår ......?
4) Hvordan adskiller den nye ISO 27002:2022 sig fra den tidligere?
Vi vil ikke komme ind på alle ændringerne i denne blog, da vi allerede ved en masse om dem, men vi vil primært forklare de problemer, som vores brugere bliver nødt til at håndtere.
I den gamle ISO/IEC 27002:2013 bestod hver kontrolforanstaltning (Best Practice) af én:
- Kontrolbeskrivelse
- Vejledning i implementering (bedste praksis)
Den nye ISO/IEC 27002:2022 nævner ikke længere "best practices", men kun kontroller, og disse består nu af :
- Kontrol (kontrolforanstaltning)
- Formål
- Vejledning
For hver kontrol vises også en attributtabel (se eksempel nedenfor), der kan hjælpe med at vælge (filtrere) kontrolforanstaltninger på forskellige områder.
Der er tre typer kontrol at vælge imellem med hensyn til, hvornår og hvordan man skal handle i tilfælde af en informationssikkerhedshændelse.
Preventief; kontrollen skal forhindre en informationssikkerhedshændelse i at opstå,
Detectief; kontrollen finder sted, når en informationssikkerhedshændelse finder sted,
Correctief; kontrollen finder sted, efter at en informationssikkerhedshændelse har fundet sted.
Tre informationssikkerhedsegenskaber: at vælge kontrolforanstaltninger ud fra informationskarakteristika som f.eks: Fortrolighed, integritet og/eller tilgængelighed.
Cybersikkerhedskoncepter er en egenskab til at vælge kontrolforanstaltninger ud fra cybersikkerhedskoncepter defineret i ISO/IEC TS 27110 cybersecurity framework og i NIST CSF-modellen: Identificer, beskyt, opdag, reager og gendan.
Operational capabilities er en attribut til at vælge ledelsestiltag ud fra perspektivet hos ejeren eller lederen af et givet område. Attributværdierne består af: Governance, Asset Management, Information Security, HR, Physical Security, System and Network Security, Application Security, Secure Configuration, Identity & Access Management, Vulnerability & Threat Management, Continuity, Vendor Management, Compliance, Information Security Incident Management og Assurance.
Sikkerhedsdomæner er en attribut til at vælge ledelsesforanstaltninger ud fra perspektivet af fire informationssikkerhedsdomæner: Governance og økosystem, beskyttelse, forsvar og modstandsdygtighed.
Alle de ovenfor beskrevne attributter fra ISO 27002 er generiske, og organisationer kan vælge at se bort fra en eller flere af attributterne eller skabe deres egne.
5) Hvad har den nye ISO 27002 at gøre med min ISO 27001-certificering?
I øjeblikket er der ikke noget; der er endnu ikke nogen ny ISO 27001-standard, og dermed heller ikke noget nyt bilag A. Det kommer der selvfølgelig, og så vil Annex A være på linje med hinanden med hensyn til format og opremsning af beskrivelsen af kontrolforanstaltningerne. NEN-organisationen forventer et opdateret Annex A til den eksisterende ISO/IEC 27001:2013 i maj, muligvis med en betegnelse som +A1:2022? Det vil trods alt være den første "ændring" til det nye bilag fra 2022. Mange vil vente på den hollandske ændrede NEN-EN ISO/IEC 27001:2017 +A1:2022. Den forventes at komme i slutningen af 2022.
Hvis du allerede har et certifikat, behøver du ikke at gøre noget med det samme. Der er en overgangsperiode på 2 år, som gælder, så snart den nye ISO27001-standard er tilgængelig med det opdaterede bilag A. Hvis du arbejder på et certificeringsprojekt, afhænger det af, hvornår du skal udføre audit, om du bedst kan fokusere på den nye ISO27001 og bilag A. Diskuter dette med f.eks. dit certificeringsorgan eller din implementeringspartner!
6) Vil noget ændre sig i CyberManager med hensyn til indhold og funktionalitet?
Strukturen i det nye bilag A vil sandsynligvis ikke være meget forskellig fra det nuværende bilag A. Så også en liste over ledelsesforanstaltninger, men:
Formatet vil være baseret på det nye bilag A baseret på ISO 27002:2022.
- Det gamle: 14 kapitler og 114 kontrolforanstaltninger
- Nyt: 4 kapitler (Menneske, Teknik, Fysisk & Organisation)
93 forvaltningsforanstaltninger i stedet for 114, så mindre arbejde? Der er 11 nye, men de er inkluderet i de i alt 93. Men hvordan? I den nye 27002 er 114 kontrolforanstaltninger, der allerede hørte meget sammen, blevet slået sammen, nogle er forblevet de samme, og en foranstaltning er blevet delt op for at nå frem til 82 foranstaltninger. Den komplette liste over forskelle mellem ISO 27002:2013 og ISO 27002:2022 kan findes i bilag B til ISO 27002:2022.
Den vil være velkendt for CyberManager-brugere, der har brugt CyberManager Measure Set. I stedet for de 4 nye kapitler og 82 fusionerede ledelsestiltag var CyberManager-tiltagssættet allerede baseret på 7 paragraffer og 71 fusionerede tiltag.
Så vi forstår denne nye ISO 27002:2022, men gik kun lidt længere. I øvrigt kan dette CyberManager-målesæt stadig bruges i den nye opsætning.
Så snart det nye bilag A er på plads, vil følgende blive behandlet:
6.1) Tilføjelse af ISO/IEC ISO27001:2017 +A1:2022, hvis du har en licens.
6.2) Vi giver en anden klassifikation af foranstaltninger.
Udskift foranstaltninger i det korrekte kapitel, nogle sammenlægninger og tilføj/integrer de nye 11 foranstaltninger.
Alle eksisterende links med kontroller til andre standarder som NEN7510, BIO, ISAE 3402, SOC 2 osv. vil fortsat eksistere. Faktisk ændres der ikke noget med hensyn til de eksisterende og sammenlagte foranstaltninger.
Nye skabeloner til de nye foranstaltninger: I den nye ISO 27002 er der tilføjet nye kontrolforanstaltninger, som derfor også skal tilføjes til eller integreres i foranstaltningssættet:
- Trusselsinformation (kl. 5.7)
- Informationssikkerhed ved brug af cloud-tjenester (kl. 5.23)
- IKT-parathed til forretningskontinuitet (kl. 5.30)
- Overvågning af fysisk sikkerhed (kl. 7.4) Konfigurationsstyring (kl. 8.9)
- Sletning af information (kl. 8.10)
- Maskering af data (kl. 8.11)
- Forebyggelse af datalækage (kl. 8.12)
- Overvågningsaktiviteter (kl. 8.16)
- Webfiltrering (kl. 8.23)
- Sikker kodning (kl. 8.28)
Du skal implementere disse nye kontrolforanstaltninger, uanset om du bruger den "gamle" ISO 27002:2017, CyberManager-foranstaltningssættet eller et andet sæt som den gamle ISO 27002.
En hage?
ISO 27002:2022 indeholder en referencetabel, så man kan følge de "gamle" kontrolforanstaltninger til de nye. Teksten til nogle af kontrolforanstaltningerne er blevet ændret, dels på grund af sammenlægningen (i hvilket tilfælde der ikke er mange indholdsmæssige ændringer), men teksten kan også blive ændret. For nogle af de kontrolforanstaltninger, hvor bedste praksis nu er medtaget som implementeringsretningslinjer, er indholdet af kontrolforanstaltningen også blevet ændret og dermed også bilag A.
Vi vil naturligvis gøre dig opmærksom på dette, når tiden er inde, men du bliver nødt til at kontrollere, om dine nuværende foranstaltninger stadig passer.
6.3) Og med hensyn til funktionalitet?
Processen for udvælgelse af foranstaltninger til generering af forslag til foranstaltninger (baseline) i CyberManager er allerede stort set kompatibel med brugen af disse attributter.
Systemet giver allerede mulighed for at arbejde med valg (attributter) som f.eks. kontroltyper, men en detekterbar type er endnu ikke blevet anvendt.
Informationssikkerhedsfunktioner er allerede blevet implementeret.
Cybersikkerhedskoncepter og sikkerhedsdomæner anvendes allerede som sikkerhedsniveauattributter for BIO (BBN1-, BBN2- og BBN3-niveauer) og cybersikkerhedskoncepter for CIS-kontrollen og NIST CSF.
Attributten "Operational capabilities" i CyberManager er delvist dækket af proces-/organisations- og/eller ressourcetyper.
Den nye ISO 27002:2022 medfører ikke de store ændringer, men hvor det er nødvendigt, vil vi supplere den, så tilpasningen til ISO27002:2020 bliver så optimal som mulig for de kunder, der ønsker at bruge den.
For at gøre det lettere for denne blog er en række emner blevet oversat fra ISO/IEC 27002:2022
men vi råder dig til at vente på den officielle hollandske oversættelse af de nye standarder.
Kilder:
Oplysninger stillet til rådighed af NEN under webinaret i februar,
ISO/IEC 27002:2022-standarden, NEN's hjemmeside, ISO.org's hjemmeside og vores certificeringsorgan.
Spørgsmål?
Vi kan forestille os, at du måske har nogle spørgsmål eller gerne vil koordinere ting med os på forhånd vedrørende denne ISO 27002:2022, så er vi selvfølgelig glade for at hjælpe.
