ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.

Køb standard i webshop Kursusoversigt

Hvad er ISO/IEC 27002?

ISO/IEC 27002 er en vejledende standard, som knytter sig til den internationale ledelsesstandard for informationssikkerhed, ISO/IEC 27001. Standarden henvender sig til alle typer og størrelser af organisationer, private såvel som offentlige, der ønsker en systematisk tilgang til at arbejde med informationssikkerhed. ISO/IEC 27002 vejleder organisationer i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed (ISMS).

En organisation, som implementerer et ISMS, udvælger på basis af sin risikoprofil de foranstaltninger i ISO/IEC 27001’s Anneks A, der er relevante for at opnå en passende beskyttelse. Det er netop disse foranstaltninger, som ISO/IEC 27002 vejleder i, hvorved organisationen bedre kan kvalificere og udpege handlinger, som anses for nødvendige. ISO/IEC 27002 indeholder i alt 93 foranstaltninger, som omfatter anbefalinger til både politikker, processer, procedurer, organisationsstrukturer samt software- og hardware-funktioner.

Hvad betyder det, at der nu er kommet en revideret version af standarden?

Den nye udgave af ISO/IEC 27002 blev publiceret i februar 2022. I den nye udgave er antallet af foranstaltninger reduceret betragteligt (fra 114 til 93), og standarden er nu bygget op over en ny struktur baseret på fire temaer: organisatoriske, teknologiske, fysiske og personrelaterede foranstaltninger. Standardens nye struktur og indhold giver større brugervenlighed bl.a. ved at benytte en række nye perspektiver til at belyse foranstaltningernes forskellige egenskaber. Bag den reviderede standard står fageksperter fra hele verden, som har diskuteret sig frem til den endelige version.

Dansk Standard har udarbejdet et whitepaper, der gennemgår ændringerne i den nye version af standarden.

Hvad betyder ændringerne i ISO/IEC 27002 for standarden ISO/IEC 27001?

I forlængelse af at ISO/IEC 27002 er blevet revideret, er Anneks A i ISO/IEC 27001 blevet opdateret, således at overensstemmelsen mellem de to standarder bevares. Anneks A indeholder begrundelser for til- og fravalg af foranstaltninger og ”Statement of Applicability”  (SoA-dokument)

Den nye version af ISO/IEC 27001 blev publiceret i oktober 2022, og den opdaterede standard er nu også oversat til dansk (se den i webshop).

Hvad betyder en ny udgave af ISO/IEC 27001 for min certificering?

Hvis du i dag er certificeret efter den gældende udgave (fra 2017) af ISO/IEC 27001, så gælder din certificering fortsat efter oktober 2022, men kun i en begrænset periode. Efter en overgangsperiode på tre år fra udgivelsesdagen, bliver certificeringer efter den gamle udgave officielt forældede. Det betyder, at virksomheder, der er certificeret efter 2017-udgaven, senest i oktober 2025 skal re-certificeres efter den nye ISO/IEC 27001:2022.

Hvordan kobler ISO/IEC 27002 sig til øvrige standarder?

ISO/IEC 27002 kan benyttes som inspirationskilde til at udpege og etablere de relevante foranstaltninger for organisationen. Standarden kan med fordel anvendes som værktøjskasse til risikohåndtering sammen med den vejledende standard for risikostyring ISO/IEC 27005. Få et overblik over samspillet mellem krav- og vejledningsstandarder i ISO/IEC 27000-serien samt koblingen til standarder for privatlivsbeskyttelse her: https://www.ds.dk/da/om-standarder/cyber-og-informationssikkerhedsstandarder

Publiceringen af den nye version af ISO/IEC 27002 har stor indflydelse på en række øvrige standarder i ISO/IEC 27000-serien, da ISO/IEC 27002 refereres i disse eller benyttes som den bagvedliggende struktur. Det medfører, at følgende standarder vil blive revideret i de kommende år: ISO/IEC 27001 (se ovenfor), ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27008, ISO/IEC 27009, ISO/IEC 27010, ISO/IEC 27011, ISO/IEC 27017 og ISO/IEC 27019.

 

Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Standardisering | Digital & Bæredygtighed
E: baa@ds.dk
T: 39 96 62 96
ISO 27002 Foranstaltninger

Mere viden om informationssikkerhed

ISO 27001 - Informationssikkerhed

ISO/IEC 27001

ISO/IEC 27001 - Informationssikkerhed

ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.

ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005

ISO/IEC 27005 – Vejledning i håndtering af informationssikkerhedsrisici

ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.

ISO/IEC 27701 Privatlivsbeskyttelse

ISO/IEC 27701

ISO/IEC 27701 Privatlivsbeskyttelse

Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.

SoA-dokument

Informationsikkerhed

SoA-dokument

Et SoA-dokument består af en liste med foranstaltninger, der kan være relevante for en organisation at implementere i forbindelse med organisationens risikohåndtering.

Se også

Nu kommer ISO/IEC 27005 for første gang på dans

03. november 2023

Nu kommer ISO/IEC 27005 for første gang på dansk

Den internationale vejledende standard til vurdering og håndtering af risici inden for informationssikkerhed, ISO/IEC 27005, som sidste år udkom i en ny version, kommer nu i dansk oversættelse. Standarden kan hjælpe virksomheder med at leve op til...

Er du klar til NIS2 og de nye krav til cyber- og informationssikkerhed?

05. september 2023

Er du klar til NIS2 og de nye krav til cyber- og informationssikkerhed?

Skærpede krav og flere regler for flere virksomheder end tidligere – det er blandt konsekvenserne, når det noget mere omfattende NIS2-direktiv træder i kraft fra oktober 2024. Men i sidste ende betyder det også større sikkerhed for langt de fleste...

Den stigende cybertrussel får flere og flere til at søge mod sikkerhedsstandarder

09. juni 2023

Den stigende cybertrussel får flere og flere til at søge mod sikkerhedsstandarder

DKCERT har netop udgivet sin årlige trendrapport med fokus på cyberspionage og -aktivisme. Her kan man bl.a. læse om tendenser indenfor cybersikkerhed samt om nye indsatser, der præger alle sektorer i disse år, som fx informationssikkerhedsstandar...

Kom på forkant med kravene i NIS2 med standarder

05. juni 2023

Kom på forkant med kravene i NIS2 med standarder

Se eller gense dette webinar, hvor du får inspiration til, hvordan du kan blive klar til NIS2 med standarder inden for cyber- og informationssikkerhed.