Ny ISO/IEC27001 og ISO/IEC27002 lanseres – dette bør du gjøre nå

De internasjonalt anerkjente standardene ble sist oppdatert i 2013, og står nå overfor den mest omfattende oppdateringen på flere år.

ISO/IEC 27001 og ISO/IEC 27002 er standardene de fleste norske og internasjonale virksomheter bruker for å systematisere og forbedre sikkerhetsarbeidet. Mens ISO/IEC 27001 beskriver et styringssystem for informasjonssikkerhet, dvs. en strukturert risikobasert tilnærming for å sikre virksomhetens informasjonsverdier, supplerer ISO/IEC 27002 med 114 ulike sikringstiltak delt inn i 14 områder som virksomheten kan velge blant.

De fleste virksomheter følger standardens krav uten å sertifisere seg, men vi opplever at stadig flere virksomheter ser markedsføringsfordeler og andre forretningsmessige verdier ved en sertifisering. 

Den mest vesentlige oppdateringen på flere år

Siden 2013 har verden og sikkerhetsfaget opplevd enorme endringer både med tanke på digitalisering av virksomhetsprosesser, det digitale trusselbildet, og når det gjelder utforming av sikringstiltak. Selv om mange av prinsippene fra den gamle standarden fortsatt er like relevante og gyldige i dag vil de fleste sikkerhetseksperter si seg enige i at det var på høy tid med en oppdatering av standardene for å gjenspeile den nye virkeligheten.

I den nye versjonen av ISO/IEC 27001, og styringssystemkravene, vil vi ikke se vesentlige oppdateringer, men de mest markante endringene er reduksjonen av områder for sikringstiltak fra 14 til 4 og sikringstiltak fra 114 til 93. I tillegg introduseres nye viktige tiltak som «Threat intelligence», «Information security for use of cloud services» og «Data masking».

Den nye strukturen for sikringstiltak blir dermed som følger:

  • Organizational controls”med 37 sikringstiltak.
  • “People controls” med 8 sikringstiltak.
  • “Physical controls” med 14 sikringstiltak.
  • “Technological controls” med 34 sikringstiltak.

Reduksjonen i antall sikringstiltak innebærer i praksis at flere tiltak fra de gamle standardene har blitt slått sammen i de nye. I tillegg introduseres nye viktige tiltak som «Threat intelligence», «Information security for use of cloud services» og «Data masking». Disse vil, sammen med den oppdaterte veiledningen i ISO/IEC 27002, være svært nyttig for mange virksomheter.

Sammen med Standard Norge har vi gleden av å invitere til webinar for å se nærmere på hvorfor det å standardisere bidrar til verdiskapning i virksomheten og hvordan det øker sikkerheten.

Som alltid når nye standarder lages eller eksisterende oppdateres vil det skape opphetede faglige diskusjoner blant eksperter. Enkelte endringer vil oppfattes av noen eksperter som mer vellykket og mer nyttige enn andre.

I tillegg vil noen eksperter ønske seg enda større oppdateringer og enda mer detaljert veiledning på noen områder. I denne diskusjonen er det dog viktig å huske et av de viktigste prinsippene til ISO/IEC 27001.

Standarden er bygget opp fleksibelt og skal tilpasses virksomhetens behov gjennom en analyse av virksomhetens kontekst samt dens interessenter, krav og risikostyringsprosess. Standarden bør brukes sammen med supplerende og mer spissede rammeverk og standarder, eks. for skytjenestesikkerhet og sikker utvikling, der dette er aktuelt.

Hva bør din virksomhet gjøre nå

Dersom din virksomhet allerede har sertifisert sitt styringssystem for informasjonssikkerhet i henhold til kravene i ISO/IEC 27001, må det tilpasses endringene i den nye versjonen innen neste resertifisering. Først og fremst bør nåværende sikringstiltak kartlegges mot de nye tiltakene og tilpasses etter behov, med utgangspunkt i en risikovurdering. Dette betyr også at Statement of Applicability (SoA) må oppdateres.

Hvis din virksomhet har startet arbeidet med å få deres styringssystem sertifisert bør dere påse at dette gjøres på bakgrunn av de nye endringene. Dette vil spare dere for ekstra arbeid i etterkant.  

Dersom din virksomhet ikke har implementert et styringssystem som følger ISO/IEC 27001, men ønsker å få de fordelene et styringssystem kan gi, anbefaler vi å ta utgangspunkt i de nye versjonene.

Vi i Watchcom bistår mange kunder med de nye standardene, har tilpasset vår metodikk og våre eksperter kan bistå dere på best mulig måte i denne overgangsperioden.