Virksomheter som jobber systematisk med informasjonssikkerhet, vil nesten alltid komme i kontakt med ISO 27001 og ISO 27002. Standardene omtales ofte samlet, men har ulike roller og bruksområder. Der den ene stiller krav til styring og ledelse, gir den andre praktisk veiledning i hvordan sikkerhetstiltak faktisk skal utformes og brukes.
For å skape reell verdi av arbeidet med informasjonssikkerhet er det nødvendig å forstå hvordan de to standardene utfyller hverandre, og hvordan vedlegg A fungerer som bindeleddet mellom dem.
ISO 27001: Ledelsesstandard for informasjonssikkerhet
ISO 27001 er den internasjonale ledelsesstandarden for informasjonssikkerhet og brukes til å etablere et strukturert og dokumentert styringssystem for informasjonssikkerhet, et ISMS.
Standarden handler ikke om konkrete tekniske sikkerhetsløsninger, men om ledelse, risikostyring og ansvar. Med ISO 27001 tar virksomheten stilling til hva som skal beskyttes, hvilke risikoer som aksepteres, og hvordan informasjonssikkerhet forankres i virksomheten.
ISO 27001 stiller blant annet krav til:
- fastsettelse av ISMS-ets scope
- identifisering og vurdering av informasjonssikkerhetsrisikoer
- fastsettelse av risikotoleranse og behandlingsstrategier
- retningslinjer, prosedyrer og styringsdokumentasjon
- roller, ansvar og ledelsesforankring
- overvåking, måling, intern revisjon og ledelsens gjennomgang
ISO 27001 er den eneste av de to standardene det kan sertifiseres etter. Sertifiseringen fungerer som dokumentasjon på at virksomheten jobber systematisk og risikobasert med informasjonssikkerhet.
ISO 27002: Praktisk veiledning for kontrolltiltak
ISO 27002 brukes når beslutninger om informasjonssikkerhet skal omsettes til praksis. Der ISO 27001 definerer rammer og krav, gir ISO 27002 konkret veiledning i hvordan valgte kontrolltiltak kan utformes og brukes i det daglige.
Standarden utdyper kontrollene i vedlegg A og beskriver hvilke risikoer de adresserer, hvilket formål de har, og hvordan de typisk implementeres organisatorisk, teknisk og operativt. Det gjør ISO 27002 til et praktisk arbeidsverktøy for informasjonssikkerhetsansvarlige, IT, compliance og ledelse.
I 2022 ble ISO 27002 oppdatert for å støtte en mer helhetlig tilnærming. Kontrollene er nå strukturert i fire overordnede kategorier:
- organisatoriske
- teknologiske
- menneskelige
- fysiske
Standarden inneholder totalt 93 kontrolltiltak som dekker hele bredden av informasjonssikkerhet, fra retningslinjer, roller og leverandørstyring til tilgangsstyring, logging, databeskyttelse og overvåking.
Vedlegg A: Kontrollkatalogen i ISO 27001
Vedlegg A er delen av ISO 27001 der risikostyring omsettes til konkrete krav til handling. Avsnittet inneholder listen over informasjonssikkerhetskontroller som virksomheten kan velge å jobbe med som del av sitt ISMS.
Kontrollene er bevisst formulert på et overordnet nivå. De angir hvilke typer sikkerhetstiltak som kan være relevante, men overlater til virksomheten å fastsette den konkrete utformingen. Dette gir rom for å tilpasse sikkerhetsnivået til egne risikoer, forretningsprosesser og IT-miljø.
Det er viktig å være oppmerksom på at:
- alle kontroller i vedlegg A er valgfrie
- alle fravalg må kunne begrunnes
Valg og fravalg dokumenteres i virksomhetens Statement of Applicability (SoA). SoA er et sentralt dokument i implementering, intern revisjon og sertifisering, og viser:
- hvilke kontroller som er valgt
- hvilke kontroller som er valgt bort, og hvorfor
- hvordan de valgte kontrollene er implementert
Samlet fungerer vedlegg A som det styringsmessige navet for informasjonssikkerhet i ISO 27001. Det er her virksomhetens risikovurderinger kobles til konkrete beslutninger om sikkerhetstiltak.
Slik brukes vedlegg A og ISO 27002 sammen i praksis
Når virksomheten har gjennomført risikovurderingen og valgt relevante kontroller fra vedlegg A, brukes ISO 27002 til å kvalifisere de påfølgende beslutningene. Standarden fungerer som et oppslagsverk som hjelper med å vurdere om kontrollene er tilstrekkelige, proporsjonale og hensiktsmessige sett opp mot det faktiske risikobildet.
ISO 27002 beskriver blant annet:
- hvilke risikoer kontrollen adresserer
- kontrollens formål og sikkerhetsmessige hensikt
- typiske organisatoriske og tekniske implementeringsalternativer
- forhold som er relevante for drift, overvåking og forbedring
I praksis brukes ISO 27002 særlig:
- når risikovurderinger skal omsettes til konkrete tiltak
- i arbeidet med SoA, der valg og fravalg må være faglig begrunnet
- som referanse i interne og eksterne revisjoner
- som grunnlag for forbedringer når risikobildet endrer seg
På denne måten understøtter ISO 27002 tilnærmingen i ISO 27001 og sikrer at ISMS-et utvikles i takt med virksomhetens behov. Sammen utgjør vedlegg A og ISO 27002 et operativt fundament der risikostyring, dokumentasjon og praksis henger tett sammen.
Hvilken standard skal brukes, og når?
ISO 27001 brukes til å etablere og styre informasjonssikkerheten. Standarden benyttes til å fastsette scope, gjennomføre risikovurderinger, definere retningslinjer, fordele ansvar og dokumentere beslutninger som del av ISMS-et. Det er her virksomheten avgjør hvilke risikoer som skal håndteres, og på hvilket nivå.
ISO 27002 brukes når beslutningene skal omsettes til praksis. Standarden gir konkret veiledning i hvordan de valgte kontrollene fra vedlegg A kan utformes, implementeres og driftes på en måte som samsvarer med virksomhetens risikobilde.
Rekkefølgen er avgjørende. Først ISO 27001 for å ta de styringsmessige valgene. Deretter ISO 27002 for å sikre god og effektiv implementering. Brukes standardene motsatt, eller isolert, risikerer virksomheten enten kontrolltiltak uten styring eller dokumentasjon uten reell effekt.
Sett på denne måten er ISO 27001 og ISO 27002 ikke alternative standarder, men to sider av samme arbeid. Den ene fastsetter rammene for informasjonssikkerhet. Den andre sørger for at de fungerer i praksis.
LES OGSÅ: Hvad er fordelene ved en ISO-standard?
