Organisationer, der arbejder systematisk med informationssikkerhed, støder stort set altid på ISO 27001 og ISO 27002. Standarderne nævnes samlet, men deres roller og anvendelse er forskellige. Hvor den ene fastlægger krav til styring og ledelse, giver den anden praktisk vejledning til, hvordan sikkerhedsforanstaltninger reelt udformes og anvendes.
For at få reel værdi ud af arbejdet med informationssikkerhed er det nødvendigt at forstå, hvordan de to standarder supplerer hinanden, og hvordan Anneks A binder dem sammen.
ISO 27001: Ledelsesstandard for informationssikkerhed
ISO 27001 er den internationale ledelsesstandard for informationssikkerhed og bruges til at etablere et struktureret og dokumenteret styringssystem (ISMS).
Standarden handler ikke om specifikke tekniske sikkerhedsløsninger, men om ledelse, risikostyring og ansvar. Med ISO 27001 beslutter organisationen, hvad der skal beskyttes, hvilke risici der accepteres og hvordan informationssikkerhed forankres i forretningen.
ISO 27001 stiller blandt andet krav til:
- fastlæggelse af ISMS’ets scope
- identificering og vurdering af informationssikkerhedsrisici
- fastlæggelse af risikotolerance og behandlingsstrategier
- politikker, procedurer og styringsdokumentation
- roller, ansvar og ledelsens involvering
- overvågning, måling, intern audit og ledelsesevaluering
ISO 27001 er den eneste af de to standarder, der kan certificeres efter. Certificeringen fungerer som dokumentation for, at organisationen arbejder systematisk og risikobaseret med informationssikkerhed.
ISO 27002: Praktisk vejledning til kontroller
ISO 27002 bruges, når beslutninger om informationssikkerhed skal omsættes til praksis. Hvor ISO 27001 definerer rammerne og kravene, giver ISO 27002 konkret vejledning til, hvordan de valgte kontroller kan udformes og anvendes i hverdagen.
Standarden uddyber de kontroller, der fremgår af Anneks A, og beskriver, hvilke risici de adresserer, hvilket formål de har og hvordan de typisk implementeres både organisatorisk, teknisk og operationelt. Det gør ISO 27002 til et arbejdsredskab for både informationssikkerhedsansvarlige, IT, compliance og ledelse.
I 2022 blev ISO 27002 opdateret for at understøtte en mere sammenhængende tilgang. Kontrollerne er i dag struktureret i fire overordnede kategorier:
- Organisatoriske
- Teknologiske
- Menneskelige
- Fysiske
Samlet indeholder standarden 93 kontroller, som dækker hele spektret af informationssikkerhed – fra politikker, roller og leverandørstyring til adgangsstyring, logning, databeskyttelse og overvågning.
Anneks A: Kontrolkataloget i ISO 27001
Anneks A er den del af ISO 27001, hvor risikostyring omsættes til konkrete krav om handling. Afsnittet indeholder listen over de informationssikkerhedskontroller, organisationen kan vælge at arbejde med som led i sit ISMS.
Kontrollerne er bevidst holdt på et overordnet niveau. De angiver, hvilke typer sikkerhedstiltag der kan være relevante, men overlader det til organisationen at fastlægge den konkrete udformning. Det giver mulighed for at tilpasse sikkerhedsniveauet til egne risici, forretningsprocesser og it-miljø.
Det er vigtigt at understrege, at:
- alle kontroller i Anneks A er valgfrie
- alle fravalg skal kunne begrundes
Valg og fravalg dokumenteres i organisationens Statement of Applicability (SoA). SoA’en er et centralt dokument i både implementering, intern audit og certificering og viser:
- hvilke kontroller der er valgt
- hvilke kontroller der er fravalgt (og hvorfor)
- hvordan de valgte kontroller er implementeret
Samlet set fungerer Anneks A som det styringsmæssige omdrejningspunkt for informationssikkerhed i ISO 27001. Det er her, organisationens risikovurderinger kobles til konkrete beslutninger om sikkerhedstiltag.
Sådan bruges Anneks A og ISO 27002 sammen i praksis
Når organisationen har gennemført sin risikovurdering og udvalgt relevante kontroller fra Anneks A, er det ISO 27002, der bruges til at kvalificere de efterfølgende beslutninger. Standarden fungerer som et opslagsværk, der hjælper med at vurdere, om de valgte kontroller er tilstrækkelige, proportionale og hensigtsmæssige i forhold til det konkrete risikobillede.
ISO 27002 beskriver blandt andet:
- hvilke risici kontrollen adresserer
- kontrollens formål og sikkerhedsmæssige hensigt
- typiske organisatoriske og tekniske implementeringsmuligheder
- forhold, der er relevante i forbindelse med drift, overvågning og forbedring
I praksis anvendes ISO 27002 især:
- når risikovurderinger skal omsættes til konkrete foranstaltninger
- i arbejdet med SoA, hvor valg og fravalg skal være fagligt begrundet
- som reference i interne og eksterne audits
- som input til forbedringer, når risikobilledet ændrer sig
På den måde understøtter ISO 27002 tilgangen i ISO 27001 og sikrer, at ISMS’et udvikler sig i takt med organisationens behov. Sammen skaber Anneks A og ISO 27002 et operationelt fundament, hvor risikostyring, dokumentation og praksis hænger sammen.
Hvilken standard skal bruges – og hvornår?
ISO 27001 bruges til at etablere og styre informationssikkerheden: fastlægge scope, gennemføre risikovurderinger, definere politikker, fordele ansvar og dokumentere beslutninger som led i ISMS’et. Det er her, organisationen beslutter, hvilke risici der skal håndteres og på hvilket niveau.
ISO 27002 bruges, når beslutningerne skal omsættes til praksis. Standarden giver konkret vejledning til, hvordan de valgte kontroller fra Anneks A kan udformes, implementeres og driftes på en måde, der matcher organisationens risikobillede.
Rækkefølgen er afgørende: Først ISO 27001 til at træffe de styringsmæssige valg. Derefter ISO 27002 til at kvalificere implementeringen. Bruges de omvendt (eller isoleret), risikerer organisationen enten kontroller uden styring eller dokumentation uden effekt.
Set på den måde er ISO 27001 og ISO 27002 ikke alternative standarder, men to sider af samme arbejde: Den ene fastlægger rammerne for informationssikkerhed. Den anden får dem til at fungere i praksis.
LÆS OGSÅ: Hvad er fordelene ved en ISO-standard?
