Nya ISO 27002:2022

Vad innebär detta för CyberManager och ISO 27001?

Sedan februari har en ny ISO/IEC 27002:2022 utvecklats. Våra kunder i Nederländerna ställer flera frågor till oss om den nya ISO-standarden. I den här bloggen diskuterar vi:

1. Ny ISO/IEC 27002:2022-standard
2. ISO 27001 är inte samma sak som ISO 27002.
3. ISO 27001-revision och certifikat, bilaga A och SOA
4. Hur skiljer sig den nya ISO 27002:2022 från den tidigare ISO 27002:2022?
5. Vad har den nya ISO 27002 att göra med min ISO 27001-certifiering?
6. Kommer det att ske några förändringar i CyberManager när det gäller innehåll och funktionalitet?

1) Ny ISO/IEC 27002:2022-standard

ISO/IEC 27002:2022 är efterföljaren till ISO/IEC 27002:2013. Det råder viss förvirring om detta, eftersom den i Nederländerna finns tillgänglig som NEN-EN-ISO/IEC 27002:2017. Vad är orsaken till denna skillnad i beteckning och årtal?

Internationella standardiseringsorganisationen (ISO) utarbetar standarder. Organisationen är ett partnerskap mellan nationella standardiseringsorganisationer i 163 länder, precis som NEN i Nederländerna. På internationell nivå samarbetar ISO med IEC, Internationella elektrotekniska kommissionen, vilket är anledningen till att vissa standarder har beteckningen ISO/IEC. NEN står för det nederländska standardiseringsinstitutet som ansvarar för att registrera standarder. EN står för Europeiska standardiseringsorganisationen och gäller för hela Europa. De nationella standardiseringsinstituten som NEN publicerar sedan dessa i sina egna länder. En NEN-EN ISO/IEC-standard innebär därför att det rör sig om en internationell standard som också har godkänts i Europa och även i Nederländerna av NEN. Ofta finns det ett tillägg som NL för att ange att den också finns tillgänglig på nederländska.

Eftersom det kan gå tid mellan översättningen och/eller harmoniseringen av en internationell standard med den lokala lagstiftningen kan det finnas en skillnad i innehåll (minimalt) och publicering. Men i princip är den "nationella" standarden NEN-EN-ISO/IEC 27002:2017 samma som ISO/IEC 27002:2013.

2) ISO 27001 är inte samma sak som ISO 27002.

ISO 27001 är en globalt erkänd standard för informationssäkerhet. Det så kallade informationssäkerhetshanteringssystemet (SFIS) beskriver genomförandet av processen för att kontrollera informationssäkerhetsrisker. För närvarande är det endast möjligt att certifiera enligt ISO 27001-standarden.
De nuvarande aktuella versionerna är:

• ISO/IEC 27001:2013 (internationell) och är faktiskt fortfarande den nuvarande standarden.

3) ISO 27001-revision och certifikat, bilaga A och SOA.

En ISO 27001-revision fokuserar huvudsakligen på processäkringen, SFIS, men under revisionen testas även de kontrollåtgärder som beskrivs i bilaga A till ISO 27001-standarddokumentet. Bilaga A är en förteckning över kontrollåtgärder och dessa är hämtade från ISO 27002, inklusive numrering, kapitel och avsnitt, men de är inte desamma.  

ISO 27002-standarden går längre än denna lista över kontrollåtgärder och ger för varje kontrollåtgärd en mer djupgående analys i form av "bästa praxis" (eventuellt tekniker som ska tillämpas, arbetsmetoder etc.) för att konkretisera kontrollåtgärden.

Det står dig fritt att tillämpa andra kontrollåtgärder (dina egna eller från andra standarder som CIS, NIST-CSF etc.) så länge du bevisligen följer kontrollåtgärderna i bilaga A.

För varje kontrollåtgärd måste du ange om den är tillämplig eller inte och om den har genomförts eller inte. Du deklarerar detta i den så kallade förklaringen om tillämplighet (Statement of Applicability, SOA). Denna SOA innehåller en hänvisning till den version som används under ISO 27001-auditet, t.ex. EN-EN-ISO/IEC 27001:2017 +A11:2020.

Hej, en annan indikation "+A11:2020"? Denna "+A11" hänvisar till de ändringar som gjorts av NEN och ":2020" till det år då ändringen gjordes. NEN använder sin egen numrering för samma standard i Nederländerna, vilket kan vara förvirrande. Andra länder kan också använda sin "egen" annorlunda numrering.
Jag hoppas att du fortfarande förstår......?

4) Hur skiljer sig den nya ISO 27002:2022 från den tidigare?

Vi kommer inte att gå in på alla ändringar i den här bloggen, eftersom vi redan vet en hel del om dem, utan vi kommer främst att förklara de problem som våra användare kommer att behöva hantera.

I den gamla ISO/IEC 27002:2013 bestod varje kontrollåtgärd (bästa praxis) av en:

• Beskrivning av kontrollen
• Vägledning för genomförande (bästa praxis)

Den nya ISO/IEC 27002:2022 nämner inte längre "bästa praxis" utan endast kontroller och dessa består nu av :

• Kontroll (kontrollåtgärd)
• Syfte
• Vägledning

För varje kontroll visas också en attributtabell (se exempel nedan) som kan hjälpa till att välja (filtrera) kontrollåtgärder för olika frågor.

Tre typer av kontroller att välja mellan när det gäller när och hur man ska agera i händelse av en informationssäkerhetsincident.

Förebyggande; kontrollen måste förhindra att en informationssäkerhetsincident inträffar,

Kriminalinspektör; kontrollen sker när en incident med informationssäkerheten inträffar,

Korrigerande åtgärder; Kontrollen sker efter det att en incident med informationssäkerheten har inträffat.

Tre egenskaper för informationssäkerhet: att välja kontrollåtgärder utifrån informationens egenskaper, t.ex: Konfidentialitet, integritet och/eller tillgänglighet.

Cybersäkerhetskoncept är ett attribut för att välja kontrollåtgärder utifrån de cybersäkerhetskoncept som definieras i ramverket för cybersäkerhet ISO/IEC TS 27110 och i NIST CSF-modellen: Identifiera, skydda, upptäcka, reagera och återställa.

Operativ kapacitet är ett attribut för att välja förvaltningsåtgärder ur ägarens eller förvaltarens perspektiv för ett visst område. Värdena för attributet består av följande: Styrning, tillgångshantering, informationssäkerhet, personal, fysisk säkerhet, system- och nätverkssäkerhet, applikationssäkerhet, säker konfiguration, identitets- och åtkomsthantering, sårbarhets- och hothantering, kontinuitet, leverantörshantering, efterlevnad, hantering av incidenter inom informationssäkerheten och säkerhet.

Säkerhetsområden är ett attribut för att välja förvaltningsåtgärder utifrån fyra informationssäkerhetsområden: Styrning och ekosystem, skydd, försvar och motståndskraft.

Alla de attribut som beskrivs ovan i ISO 27002 är generiska och organisationer kan välja att bortse från ett eller flera av attributen eller skapa egna attribut.

5) Vad har den nya ISO 27002 att göra med min ISO 27001-certifiering?

För närvarande finns det inget; det finns ännu ingen ny ISO 27001-standard och därmed ingen ny bilaga A. Naturligtvis kommer det att finnas en, och då kommer bilaga A att vara i linje med varandra när det gäller format och uppräkning av beskrivningen av kontrollåtgärderna. NEN-organisationen förväntar sig en uppdaterad bilaga A till den befintliga ISO/IEC 27001:2013 i maj, eventuellt med en beteckning som +A1:2022? Det kommer trots allt att vara den första "ändringen" till den nya bilagan från 2022. Många kommer att vänta på det nederländska ändrade NEN-EN ISO/IEC 27001:2017 +A1:2022. Detta förväntas i slutet av 2022.

Om du redan har ett certifikat behöver du inte göra något omedelbart. Det finns en övergångsperiod på två år som gäller så snart den nya ISO 27001-standarden finns tillgänglig med den uppdaterade bilaga A. Om du arbetar med ett certifieringsprojekt beror det på när du ska genomföra revisionen om du bäst kan fokusera på den nya ISO 27001 och bilaga A. Diskutera detta med till exempel ditt certifieringsorgan eller din genomförandepartner!

 6) Kommer något att förändras i CyberManager när det gäller innehåll och funktionalitet?

Strukturen i den nya bilagan A kommer troligen inte att skilja sig särskilt mycket från den nuvarande bilagan A. Det finns alltså även en förteckning över förvaltningsåtgärderna, men:

• Formatet kommer att baseras på den nya bilaga A som bygger på ISO 27002:2022.
  
  1. Gammal: 14 kapitel och 114 kontrollåtgärder
  2. Nytt: 4 kapitel (människa, teknik, fysik och organisation)

• 93 förvaltningsåtgärder i stället för 114, vilket innebär mindre arbete? Det finns 11 nya åtgärder, men de ingår i det totala antalet på 93. Men hur? I den nya 27002 har 114 kontrollåtgärder som redan hörde mycket ihop slagits samman, några har förblivit oförändrade och en åtgärd har delats upp för att få 82 åtgärder. Den fullständiga listan över skillnader mellan ISO 27002:2013 och ISO 27002:2022 finns i bilaga B till ISO 27002:2022.

Den kommer att vara bekant för CyberManager-användare som använt CyberManager-måttuppsättningen. I stället för de fyra nya kapitlen och 82 sammanslagna förvaltningsåtgärderna byggde CyberManager redan på sju stycken och 71 sammanslagna åtgärder.

Vi förstår alltså den nya ISO 27002:2022, men har bara gått lite längre. Förresten kan denna CyberManager-måttuppsättning fortfarande användas i den nya uppställningen.

Så snart den nya bilaga A är på plats kommer följande att behandlas:

6.1) Tillägg av ISO/IEC ISO27001:2017 +A1:2022 om du har en licens.

6.2) Vi tillhandahåller en annan måttklassificering

Ersätt åtgärder i rätt kapitel, vissa sammanslagningar och lägg till/integrera de nya 11 åtgärderna.

Alla befintliga kopplingar med kontroller till andra standarder, t.ex. ISAE 3402, SOC 2 osv. kommer att finnas kvar. I själva verket förändras ingenting när det gäller de befintliga och sammanslagna åtgärderna.  

Nya mallar för de nya åtgärderna: I den nya ISO 27002 har nya kontrollåtgärder lagts till, som därför också måste läggas till eller integreras i åtgärdssatsen:

- Information om hot (cl. 5.7)

- Informationssäkerhet vid användning av molntjänster (cl. 5.23)

- IKT-beredskap för kontinuitet i verksamheten (cl. 5.30)

- Övervakning av fysisk säkerhet (cl. 7.4) Konfigurationshantering (cl. 8.9)  

- Radering av information (cl. 8.10) 

- Maskering av uppgifter (cl. 8.11) 

- Förebyggande av dataläckage (cl. 8.12) 

- Övervakningsverksamhet (cl. 8.16) 

- Webbfiltrering (cl. 8.23) 

- Säker kodning (cl. 8.28)

Du måste implementera dessa nya kontrollåtgärder oavsett om du använder den "gamla" ISO 27002:2017, CyberManager-åtgärderna eller någon annan uppsättning som liknar den gamla ISO 27002.

En fångst?

ISO 27002:2022 innehåller en referenstabell för att följa de "gamla" kontrollåtgärderna till de nya. Texten till vissa av kontrollåtgärderna har ändrats, delvis på grund av sammanslagningen (i vilket fall det inte är någon större förändring när det gäller innehållet), men texten kan också ändras. När det gäller vissa av de kontrollåtgärder för vilka de bästa metoderna nu har inkluderats som riktlinjer för genomförandet, har innehållet i kontrollåtgärden också ändrats och följaktligen även bilaga A.

Vi kommer givetvis att informera dig om detta i sinom tid, men du måste kontrollera om dina nuvarande åtgärder fortfarande passar.

6.3) Och när det gäller funktionalitet?

Processen för urval av åtgärder för att generera åtgärdsförslag (baslinje) i CyberManager är redan till stor del kompatibel med användningen av dessa attribut.

Systemet erbjuder redan möjligheter att arbeta med urval (attribut) som t.ex. kontrolltyper, men en detekterbar typ har ännu inte tillämpats.

Funktioner för informationssäkerhet har redan införts.

Cybersäkerhetskoncept och säkerhetsområden tillämpas redan som säkerhetsnivåattribut för (BBN1-, BBN2- och BBN3-nivåerna) och cybersäkerhetskoncept för CIS-kontrollen och NIST CSF.

Attributet "Operational capabilities" i CyberManager täcks delvis av process-/organisations- och/eller resurstyper.

Den nya ISO 27002:2022 innebär inga större förändringar, men vid behov kommer vi att komplettera den så att anpassningen till ISO 27002:2020 blir så optimal som möjligt för de kunder som vill använda den.

För att underlätta för den här bloggen har ett antal frågor översatts från ISO/IEC 27002:2022

men vi rekommenderar att du väntar på den officiella nederländska översättningen av de nya standarderna.

Sources:

Information som NEN tillhandahöll under webbseminariet i februari,

standarden ISO/IEC 27002:2022, NEN:s webbplats, webbplatsen ISO.org och vårt certifieringsorgan. 

Frågor?

Vi kan tänka oss att du kanske har några frågor eller vill samordna frågor med oss i förväg om denna ISO 27002:2022, då hjälper vi naturligtvis gärna till.