ISO/IEC 27002:2022 är publicerad

I dagarna har den nya utgåvan av ISO/IEC 27002 publicerats. I detta nu läses och nagelfars den säkerligen världen över av informationssäkerhetsexperter i olika roller. Visst är den efterlängtad och innehåller en hel del modernisering och förändringar, men den kommer också att medföra en hel del arbete och kanske en del förvirring. Här beskriver jag de viktigaste förändringarna gentemot den förra versionen och några av mina reflektioner så här långt.

ISO/IEC 27002 är kanske den mest kända och spridda standarden överhuvudtaget inom informationssäkerhetsområdet. Den första versionen publicerades år 2000, då som ISO/IEC 17799, som hade sitt ursprung i den brittiska standarden BS 7799 från 1995. Den nya versionen är den tredje upplagan och heter ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection – Information security controls. Standarden är ännu inte svensk standard eller översatt till svenska.

Den nya utgåvan är ett resultat av ett omfattande revisionsarbete där runt 200 experter bidragit med mer än 10 000 kommentarer, inklusive medlemmar i den svenska kommittén SIS TK 318. Editorerna i den internationella kommittén SC27 har gjort en enorm insats med att hålla ihop ett arbete som vi nu kan se resultatet av.

Som tidigare innehåller ISO/IEC 27002 ett antal säkerhetsåtgärder som benämns som ”best practice”. Dessa är generella och ska kunna användas av alla typer av organisationer oavsett storlek, bransch/sektor eller geografisk hemvist och spridning. Samma koppling finns till ISO/IEC 27001 (vars Bilaga A kommer att uppdateras), men ISO/IEC 27002 kan som tidigare även användas fristående.

Nya teman och attribut

Den stora nyheten är en helt ny struktur där standarden är indelad i fyra teman:

• Organizational controls (37 säkerhetsåtgärder)

• People controls (8 säkerhetsåtgärder)

• Physical controls (14 säkerhetsåtgärder)

• Technological controls (34 säkerhetsåtgärder)

Indelningen i dessa fyra teman innebär en grövre indelning än den föregående utgåvan som ju har 14 kapitel med säkerhetsåtgärder (kapitel 5–18). Säkerhetsåtgärder kan delas in utifrån olika grunder, t.ex. vad de utgörs av eller på vilket sätt de avser att skydda information. Detta har man tagit fasta på i den nya versionen genom att, förutom indelningen i teman, associera varje säkerhetsåtgärd till fem olika attribut (med attributvärden föregångna av ”#” för att göra dem sökbara):

1. Control types (#Preventive, #Detective, #Corrective)

2. Information security properties (#Confidentiality, #Integrity, #Availability)

3. Cybersecurity concepts (#Identify, #Protect, #Detect, #Respond, #Recover)

4. Operational capabilities (#Governance, #Asset _management, #Information_protection, #Human_resource_security, #Physical_security… med flera – totalt 15 attributvärden)

5. Security domains (#Governance_and_Ecosystem, #Protection, #Defence, #Resilience)

I nya ISO/IEC 27002 finns i Bilaga A en matris med alla säkerhetsåtgärder och deras attributvärden. Tanken är att man i en Excel-lista eller en databas ska kunna filtrera ut vissa säkerhetsåtgärder i vissa situationer, exempelvis om man vill se alla fysiska säkerhetsåtgärder som är förebyggande och skyddar informationens tillgänglighet.

Reviderade säkerhetsåtgärder

Samtliga säkerhetsåtgärder har skrivits om språkligt och många har moderniserats innehållsmässigt. För att underlätta övergång till den nya utgåvan och ha bakåtkompabilitet finns i Bilaga B två översättningstabeller som utgår från säkerhetsåtgärderna i den nya utgåvan respektive den föregående utgåvan. Där framgår det att det har tillkommit 11 nya säkerhetsåtgärder. Vissa av dessa, som exempelvis 5.7 Threat intelligence, kan ses som helt nya medan andra har hämtats från mer specifika standarder i ISO/IEC 27000-serien. Exempelvis verkar säkerhetsåtgärden 5.30 ICT readiness for business continuity vara en komprimerad form av ISO/IEC 27031 medan 5.23 Information security for use of cloud services tycks ha hämtats från ett flertal molnrelaterade standarder. Skälet är förstås att flera områden idag är självklara och bör finnas med i en översiktsstandard som ISO/IEC 27002.

Det totala antalet säkerhetsåtgärder har blivit färre – 93 mot de tidigare 114 – men detta innebär inte att standardens omfång är mindre, utan tvärtom. Flera säkerhetsåtgärder har slagits samman och utökats i omfattning. Exempelvis ersätter säkerhetsåtgärden 5.18 Access rights tre säkerhetsåtgärder i den förra utgåvan (9.2.2, 9.2.5 och 9.2.6).

I och med denna utgåva så kommer Bilaga A i ISO/IEC 27001 att uppdateras (hela ISO/IEC 27001 kommer att börja revideras senare under 2022). Flera andra standarder i ISO/IEC 27000-serien som baseras på ISO/IEC 27002 kommer också att uppdateras.

Reflektioner

Självklart motiverar den snabba utvecklingen inom IT- och informationssäkerhet en ny ISO/IEC 27002, något som inte skett sedan 2013. En ny version av en så spridd standard kräver dock massor av arbete på olika nivåer – uppdatering av styrdokument, verktyg, utbildningar m.m. Standardens Bilaga B ger ett nödvändigt stöd i detta.

Jag vill vara försiktig med att i ett så här tidigt skede värdera de gjorda förändringarna. Även om jag genom min medverkan i SIS TK 318 haft tillgång till utkast i ett par år så vill jag jobba med den praktiskt innan jag gör utlåtanden. En så omfattande standard behöver tillämpas för att kunna göra en rättvis bedömning.

Det jag just nu är mest osäker på är hela idén med attribut, vad är egentligen den praktiska nyttan med detta? Risken är att det skapar mer förvirring än vad det tillför. Skiljelinjen mellan standardens fyra olika teman är inte heller helt glasklar. Detta ser jag dock inte som någon egentlig brist eftersom en viss struktur ändå aldrig passar alla organisationer, utan måste anpassas. Säkerhetsåtgärder som väljs i en organisation ska implementeras på ett sätt som passar just den organisationen, inte minst i form av målgruppsinriktade styrdokument där det tydligt framgår vilka som ska efterleva, implementera och följa upp de valda säkerhetsåtgärderna.

Under våren kommer jag att hjälpa två organisationer att tillämpa delar av den nya ISO/IEC 27002:2022. Det ska bli spännande, och jag ser fram emot att ge ett mer grundat utlåtande efter det i ett nytt blogginlägg!