ISO/IEC 27002 – Foranstaltninger til informationssikkerhed

ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.

Kursusoversigt

Hvad er ISO/IEC 27002?

ISO/IEC 27002 er en vejledende standard, som knytter sig til den internationale ledelsesstandard for informationssikkerhed, ISO/IEC 27001. Standarden henvender sig til alle typer og størrelser af organisationer, private såvel som offentlige, der ønsker en systematisk tilgang til at arbejde med informationssikkerhed. ISO/IEC 27002 vejleder organisationer i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed (ISMS).

En organisation, som implementerer et ISMS, udvælger på basis af sin risikoprofil de foranstaltninger i ISO/IEC 27001’s Anneks A, der er relevante for at opnå en passende beskyttelse. Det er netop disse foranstaltninger, som ISO/IEC 27002 vejleder i, hvorved organisationen bedre kan kvalificere og udpege handlinger, som anses for nødvendige. ISO/IEC 27002 indeholder i alt 114 foranstaltninger, som omfatter anbefalinger til både politikker, processer, procedurer, organisationsstrukturer samt software- og hardware-funktioner.

Hvad betyder det, at der nu kommer en revideret version af standarden?

Den nye udgave af ISO/IEC 27002 forventes at blive publiceret senest med udgangen af første kvartal 2022. I den nye udgave reduceres antallet af foranstaltninger betragteligt, og standarden overgår samtidig til en ny struktur baseret på fire temaer: organisatoriske, teknologiske, fysiske og adfærdsmæssige foranstaltninger. Standardens nye struktur og indhold giver større brugervenlighed bl.a. ved at benytte en række nye perspektiver til at belyse foranstaltningernes forskellige egenskaber. Bag revisionen af standarden står fageksperter fra hele verden, som har diskuteret sig frem til den endelige version.

Dansk Standard har udarbejdet et whitepaper, der gennemgår ændringerne i den nye version af standarden.

Hvad betyder ændringerne i ISO/IEC 27002 for standarden ISO/IEC 27001?

I forlængelse af at ISO/IEC 27002 revideres, forældes referencen til den snart gamle udgave af ISO/IEC 27002 i ISO/IEC 27001’s Anneks A. Derfor er der ligeledes en ny udgave af ISO/IEC 27001 undervejs, således overensstemmelsen mellem de to standarder bevares. ISO/IEC 27001 forventes at blive publiceret i en ny udgave i maj 2022, og ændringerne forventes at blive begrænset til Anneks A, hvor begrundelser for til- og fravalg af foranstaltninger og ”Statement of Applicability”  (SoA-dokument) indgår.

Hvad betyder en ny udgave af ISO/IEC 27001 for min certificering?

Hvis du i dag er certificeret efter den gældende udgave (fra 2017) af ISO/IEC 27001, så gælder din certificering fortsat efter maj 2022, men kun i en begrænset periode. Efter en overgangsperiode på tre år fra udgivelsesdagen, bliver certificeringer efter den gamle udgave officielt forældede. Det betyder, at virksomheder, der er certificeret efter 2017-udgaven, senest i maj 2025 skal re-certificeres efter den nye ISO/IEC 27001:2022.

Hvordan kobler ISO/IEC 27002 sig til øvrige standarder?

ISO/IEC 27002 kan benyttes som inspirationskilde til at udpege og etablere de relevante foranstaltninger for organisationen. Standarden kan med fordel anvendes som værktøjskasse til risikohåndtering sammen med den vejledende standard for risikostyring ISO/IEC 27005. Få et overblik over samspillet mellem krav- og vejledningsstandarder i ISO/IEC 27000-serien samt koblingen til standarder for privatlivsbeskyttelse her: https://www.ds.dk/da/om-standarder/cyber-og-informationssikkerhedsstandarder

Publiceringen af den nye version af ISO/IEC 27002 har stor indflydelse på en række øvrige standarder i ISO/IEC 27000-serien, da ISO/IEC 27002 refereres i disse eller benyttes som den bagvedliggende struktur. Det medfører, at følgende standarder vil blive revideret i de kommende år: ISO/IEC 27001 (se ovenfor), ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27008, ISO/IEC 27009, ISO/IEC 27010, ISO/IEC 27011, ISO/IEC 27017 og ISO/IEC 27019.

 

Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39966296
Astrid Bækby Knudsen
Astrid Bækby Knudsen Standardiseringskonsulent | Standardisation Consultant
Sekretariater, udvalg og netværk II
E: abk@ds.dk
T: 39966206
ISO 27002 Foranstaltninger

Se også

04. juni 2021

Den nye ISO/IEC 27002 – kom på forkant med de nye sikkerhedsforanstaltninger

Se eller gense Dansk Standards webinar om den nye version af standarden ISO/IEC 27002, der blev afholdt den 4. juni.

Cyber- og informationssikkerhed på det strategiske niveau

08. juni 2021

Video: Cyber- og informationssikkerhed på det strategiske niveau

Se eller gense videoen fra webinaret om cyber- og informationssikkerhed og få indsigt i, hvilke kompetencer virksomhedsledere og bestyrelsesmedlemmer bør tilegne sig samt hvilke strategiske værktøjer, der kan styrke virksomhedens modstands- og kon...

18. juni 2021

Webinar: Standarder for cybersikkerhed – OT, IT og IoT

Se eller gense videoen fra webinaret om standarder for cybersikkerhed og få et overblik over de mest anvendte cybersikkerhedsstandarder inden for de tre perspektiver; OT (Operational Technology), IT (Information Technology) og IoT (Internet of Thi...