Organisationer som arbetar systematiskt med informationssäkerhet kommer i stort sett alltid i kontakt med ISO 27001 och ISO 27002. Standarderna nämns ofta tillsammans, men deras roller och användning skiljer sig åt. Den ena fastställer krav på styrning och ledning, medan den andra ger praktisk vägledning i hur säkerhetsåtgärder faktiskt utformas och tillämpas.
För att skapa verkligt värde i arbetet med informationssäkerhet är det nödvändigt att förstå hur de två standarderna kompletterar varandra – och hur bilaga A binder samman dem.
ISO 27001: Ledningsstandard för informationssäkerhet
ISO 27001 är den internationella ledningsstandarden för informationssäkerhet och används för att etablera ett strukturerat och dokumenterat ledningssystem (ISMS).
Standarden handlar inte om specifika tekniska säkerhetslösningar, utan om ledning, riskhantering och ansvar. Med ISO 27001 beslutar organisationen vad som ska skyddas, vilka risker som accepteras och hur informationssäkerhet förankras i verksamheten.
ISO 27001 ställer bland annat krav på:
- fastställande av ISMS:ets omfattning (scope)
- identifiering och bedömning av informationssäkerhetsrisker
- fastställande av risktolerans och behandlingsstrategier
- policyer, rutiner och styrande dokumentation
- roller, ansvar och ledningens involvering
- övervakning, mätning, intern revision och ledningsutvärdering
ISO 27001 är den enda av de två standarderna som går att certifiera mot. Certifieringen fungerar som bevis på att organisationen arbetar systematiskt och riskbaserat med informationssäkerhet.
ISO 27002: Praktisk vägledning för kontroller
ISO 27002 används när beslut om informationssäkerhet ska omsättas i praktiken. Där ISO 27001 definierar ramar och krav, ger ISO 27002 konkret vägledning om hur de valda kontrollerna kan utformas och tillämpas i vardagen.
Standarden fördjupar kontrollerna i bilaga A och beskriver vilka risker de adresserar, vilket syfte de har och hur de normalt implementeras – organisatoriskt, tekniskt och operativt. Det gör ISO 27002 till ett arbetsverktyg för såväl informationssäkerhetsansvariga som IT, compliance och ledning.
År 2022 uppdaterades ISO 27002 för att stödja ett mer sammanhängande tillvägagångsssätt. Kontrollerna är i dag strukturerade i fyra övergripande kategorier:
- organisatoriska
- teknologiska
- mänskliga
- fysiska
Totalt innehåller standarden 93 kontroller som täcker hela informationssäkerhetsområdet – från policyer, roller och leverantörsstyrning till åtkomstkontroll, loggning, dataskydd och övervakning.
Bilaga A: Kontrollkatalogen i ISO 27001
Bilaga A är den del av ISO 27001 där riskhantering omsätts till konkreta krav på åtgärder. Avsnittet innehåller listan över de informationssäkerhetskontroller som organisationen kan välja att arbeta med inom ramen för sitt ISMS.
Kontrollerna är medvetet hållna på en övergripande nivå. De anger vilka typer av säkerhetsåtgärder som kan vara relevanta, men överlåter till organisationen att fastställa den konkreta utformningen. Det ger möjlighet att anpassa säkerhetsnivån efter egna risker, affärsprocesser och IT-miljö.
Det är viktigt att understryka att:
- alla kontroller i bilaga A är valfria
- alla val att avstå från kontroller måste kunna motiveras
Val och bortval dokumenteras i organisationens Statement of Applicability (SoA). SoA är ett centralt dokument i såväl implementering som intern revision och certifiering, och det visar:
- vilka kontroller som har valts
- vilka kontroller som har valts bort (och varför)
- hur de valda kontrollerna har implementerats
Sammantaget fungerar bilaga A som den styrande navet för informationssäkerhet i ISO 27001. Det är här organisationens riskbedömningar kopplas till konkreta beslut om säkerhetsåtgärder.
Så används bilaga A och ISO 27002 tillsammans i praktiken
När organisationen har genomfört sin riskbedömning och valt relevanta kontroller från bilaga A är det ISO 27002 som används för att kvalificera de efterföljande besluten. Standarden fungerar som ett uppslagsverk som hjälper till att bedöma om de valda kontrollerna är tillräckliga, proportionerliga och ändamålsenliga i förhållande till den aktuella riskbilden.
ISO 27002 beskriver bland annat:
- vilka risker kontrollen adresserar
- kontrollens syfte och säkerhetsmässiga intention
- typiska organisatoriska och tekniska sätt att implementera kontrollen
- aspekter som är relevanta för drift, övervakning och förbättring
I praktiken används ISO 27002 särskilt:
- när riskbedömningar ska omsättas i konkreta åtgärder
- i arbetet med SoA, där val och bortval ska vara sakligt motiverade
- som referens vid interna och externa revisioner
- som input till förbättringar när riskbilden förändras
På så sätt stödjer ISO 27002 tillvägagångssättet i ISO 27001, och säkerställer att ISMS utvecklas i takt med organisationens behov. Tillsammans skapar bilaga A och ISO 27002 ett operativt fundament där riskhantering, dokumentation och praktik hänger ihop.
Vilken standard ska användas – och när?
ISO 27001 används för att etablera och styra informationssäkerheten: fastställa omfattning, genomföra riskbedömningar, definiera policyer, fördela ansvar och dokumentera beslut inom ramen för ISMS. Det är här organisationen beslutar vilka risker som ska hanteras och på vilken nivå.
ISO 27002 används när besluten ska omsättas i praktiken. Standarden ger konkret vägledning i hur de valda kontrollerna i bilaga A kan utformas, implementeras och drivas på ett sätt som matchar organisationens riskbild.
Ordningen är avgörande: Först ISO 27001 för att fatta styrningsmässiga beslut. Därefter ISO 27002 för att kvalificera implementeringen. Används de omvänt (eller isolerat) riskerar organisationen antingen kontroller utan ledning eller dokumentation utan faktisk effekt.
Sett i detta ljus är ISO 27001 och ISO 27002 inte alternativa standarder, utan två sidor av samma arbete: Den ena fastställer ramarna för informationssäkerhet. Den andra får dem att fungera i praktiken.
LÄS OCKSÅ: Vilka fördelar finns det med ISO-standarden?
