ISO 27001:2022 er den nyeste versjonen av ISO/IEC 27001-standarden for informasjonssikkerhet. Den er oppdatert for å gjenspeile det stadig skiftende teknologiske landskapet og for å sikre at organisasjoner effektivt kan beskytte sine data og verdier mot cybertrusler.
Anneks A er en integrert del av standarden og inneholder en rekke klassifiserte sikkerhetskontroller som organisasjoner kan bruke for å dokumentere at de overholder kravene.
Anneks A – fra 114 til 93 kontroller
Tidligere inneholdt Anneks A 114 kontroller fordelt på 14 kategorier, og som dekket et bredt spekter av emner som tilgangskontroll, kryptering, kommunikasjonssikkerhet og hendelseshåndtering.
Etter utgivelsen av ISO 27002:2022, som gir organisasjoner mer konkrete verktøy for å oppnå sertifisering i henhold til standarden, har ISO 27001 justert kontrollmålene i Anneks A.
Den nye versjonen av standarden har konsolidert kontrollmålene i 93 kontroller, hvorav noen er nye, mens andre er revidert for å bedre tilpasses dagens informasjonssikkerhetsmiljø og sikkerhetsutfordringer.
Kontrollene i Anneks A er nå kategorisert i fire kategorier:
- Organisatoriske
- Menneskelige
- Fysiske
- Teknologiske
Det er viktig å merke seg at ikke alle kontroller vil være relevante eller nødvendige for alle organisasjoner. Valget av hvilke kontroller som skal implementeres, bør derfor baseres på den enkelte organisasjonens spesifikke risikovurdering.
LES OGSÅ: ISO 27001: Bestepraksis for å ivareta informasjonssikkerheten
En gjennomgang av kontrollmålene i Anneks A
For å gi et mer konkret bilde av hva kontrollmålene i Anneks A innebærer, har vi valgt ut noen av de mest sentrale kontrollmålene innenfor hver av de fire kategoriene.
Organisatoriske kontroller
Organisatoriske kontroller handler om den overordnede styringen og organiseringen av informasjonssikkerheten i organisasjonen. Disse kontrollene er helt avgjørende for å sikre at organisasjonen har en klar og effektiv struktur for styring av informasjonssikkerheten.
Eksempler på dette kan være:
Retningslinjer for informasjonssikkerhet - organisasjonen må ha klare og veldefinerte retningslinjer for informasjonssikkerhet som er godkjent av ledelsen.
Roller og ansvar - det må være klart definert hvem som er ansvarlig for hvilke aspekter av informasjonssikkerheten. Dette gjelder både ledelses- og driftsroller.
Hendelseshåndtering - organisasjonen bør ha klare prosedyrer for hvordan potensielle sikkerhetshendelser skal håndteres. Fra identifisering og rapportering til respons og oppfølging.
Risikovurdering og -behandling - organisasjonen bør regelmessig gjennomføre risikovurderinger for å identifisere potensielle trusler og sårbarheter og utarbeide en plan for risikohåndtering.
Menneskelige kontroller
Menneskelige kontroller fokuserer på de menneskelige aspektene ved informasjonssikkerhet og bidrar til å sikre at de ansatte forstår sine roller og sitt ansvar i forhold til informasjonssikkerhet.
Eksempler på dette kan være:
Opplæring og bevisstgjøring - alle ansatte må ha den nødvendige kunnskapen og forståelsen for å håndtere informasjon på en sikker måte.
Styring av brukertilgang - det må finnes klare prosedyrer for tildeling og styring av brukerrettigheter til systemer og data, slik at de ansatte bare har tilgang til den informasjonen de trenger for å utføre jobben sin.
Bruk av mobile enheter - organisasjonen må ha klare retningslinjer og kontroller for bruk av mobile enheter og ekstern tilgang til organisasjonens systemer og data.
LES OGSÅ: NIS2: Forstå direktivet om nett- og informasjonssikkerhet
Fysiske kontroller
Fysiske kontroller er rett og slett de fysiske tiltakene som er nødvendige for å beskytte organisasjonens informasjon og informasjonssystemer. Disse kontrollene er avgjørende for å sikre at organisasjonens fysiske infrastruktur er sikret mot både interne og eksterne trusler.
Eksempler på dette kan være:
Tilgangskontroll - organisasjonen bør ha klare rutiner for hvem som har tilgang til hvilke områder i organisasjonens lokaler.
Miljøtrusler - riktige tiltak bør iverksettes for å sikre organisasjonens anlegg mot miljøtrusler som brann, flom og lignende naturkatastrofer.
Sikker avhending - når utstyr som inneholder informasjon skal avhendes eller resirkuleres, bør det finnes klare retningslinjer for sletting av data, fysisk destruksjon og bruk av sertifiserte tjenester for å sikre at informasjonen ikke kommer på avveie.
Teknologiske kontroller
Teknologiske kontroller er de tekniske løsningene som trengs for å beskytte organisasjonens informasjon.
Eksempler på dette kan være:
Kryptering - organisasjonen bør ha klare retningslinjer for når og hvordan kryptering av informasjon skal brukes, både når det står i ro og under transport.
Tilgangskontrollsystemer - teknologiske tilgangskontrollsystemer kan brukes til å styre hvem som har tilgang til hvilken informasjon og hvilke systemer.
Nettverkssikkerhet - organisasjonens nettverk må beskyttes mot uautorisert tilgang og angrep. For eksempel gjennom brannmurer og VPN.
Beskyttelse mot skadelig programvare - det er viktig med effektive løsninger for å beskytte mot skadelig programvare som virus, trojanere og løsepengevirus, inkludert antivirusprogramvare og opplæring av ansatte i sikker atferd på nettet.
Implementering av kontrollmålene
Implementering av ISO 27001 og de tilhørende kontrollmålene i Anneks A er en omfattende prosess som krever tid og ressurser. Likevel, er det en investering som kan gi betydelige fordeler i form av forbedret informasjonssikkerhet, økt tillit fra kunder og forretningspartnere og overholdelse av myndighetskrav.
ISO 27002 er et verdifullt verktøy som hjelper organisasjoner med å forstå og implementere kontrollmålene i Anneks A. Den gir detaljerte retningslinjer og anbefalinger for hver enkelt kontroll, noe som gjør det enklere å identifisere relevante kontroller og implementere dem effektivt.
Selve implementeringen krever en systematisk tilnærming. Først må organisasjonen identifisere hvilke kontroller som er relevante, basert på organisasjonens spesifikke risikovurdering. Deretter må man utvikle klare retningslinjer og prosedyrer for hver enkelt kontroll og sikre at de implementeres korrekt. Til slutt må det etableres en prosess for løpende overvåking og gjennomgang av kontrollmålene for å sikre at de forblir effektive og relevante.
Dette siste punktet er verdt å være ekstra oppmerksom på. Det er viktig å huske at ISO 27001 ikke er en oppgave som skal løses kun èn gang, men en kontinuerlig prosess som krever regelmessig revurdering og justering for å holde tritt med endringer i organisasjonens risikomiljø.
LES OGSÅ: NIS2 vs. ISO 27001: Forstå sammenhengen
