ISO 27002 beskriver beste praksis for informasjonssikkerhetskontroller som brukes for å redusere uakseptable risikoer for konfidensialitet, integritet og tilgjengelighet til informasjon.
Hva er formålet med ISO 27002?
Veiledningen i ISO 27002 er ment å hjelpe en virksomhet med å iverksette, vedlikeholde og forbedre sin informasjonssikkerhetsstyring.
Hva er forskjellen på ISO 27001 og ISO 27002?
ISO 27001 stiller krav til ledelsessystem for informasjonssikkerhet, og i Appendix A beskrives 11 områder med 133 ulike sikringstiltak. ISO 27002 gir veiledning for implementering av disse sikringstiltakene. ISO 27002 beskriver hvert sikringstiltak, hva målet med tiltaket er og hvordan man kan iverksette tiltaket.
Listen over sikringstiltak i ISO 27002, kapittel 5-18 er helt identisk med Appendix A i ISO 27001.
Kan man sertifiseres etter ISO 27002?
Nei, det er kun etterlevelse av ISO 27001 som gir grunnlag for sertifisering. Dermed er det kun ISO 27001 som er relevant dersom man i et kontraktsforhold mener at det er viktig å referer til et sertifikat på sikkerhetsarbeidet.
Statement of applicability (SOA) - ISO 27002
Dokumentet SOA ISO 27002 dokumenterer hvilke sikringstiltak som er implementert. SOA viser også hvilke tiltak som ikke er implementert, og begrunnelsen på hvorfor ikke.
Et slikt dokument beviser ikke at et produkt eller en tjeneste er sikre, men dokumenterer hvilke sikringstiltak som virksomheten har iverksatt. Noen virksomheter bruker SOA ISO 27002 for å markedsføre sine produkter og tjenester som sikre, noe som ikke nødvendigvis stemmer.
ISO 27002 – Innhold
Sikringstiltak i ISO 27002 finner du i kapittel 5 til 18.
Kapittel 5 | Informasjonssikkerhetspolicyer |
Kapittel 6 | Organisering av informasjonssikkerhet |
Kapittel 7 | Personellsikkerhet |
Kapittel 8 | Forvaltning av aktiva |
Kapittel 9 | Aksesskontroll |
Kapittel 10 | Kryptografi |
Kapittel 11 | Fysiske og miljømessig sikkerhet |
Kapittel 12 | Driftssikkerhet |
Kapittel 13 | Kommunikasjonssikkerhet |
Kapittel 14 | Anskaffelse, utvikling og vedlikehold av systemer |
Kapittel 15 | Leverandørforhold |
Kapittel 16 | Styring av informasjonssikkehetsbrudd |
Kapittel 17 | Informasjonssikkerhetsaspekter ved styring av virksomhetskontinuitet |
Kapittel 18 | Samsvar |
Informasjonssikkerhetspolicy er et sett med retningslinjer for informasjonssikkerhet som bør defineres, godkjennes av ledelsen, publiseres og kommuniseres til ansatte og relevante eksterne parter. Retningslinjene for informasjonssikkerhet bør gjennomgås med planlagte intervaller eller hvis det skjer betydelige endringer for å sikre deres fortsatte egnethet, tilstrekkelighet og effektivitet.
Organisering av informasjonssikkerhet implementeres ved å definere regler som skal følges, og forventet atferd fra brukere, utstyr, programvare og systemer. f.eks. Policy for tilgangskontroll, BYOD-policy, etc.
Juridiske kontroller implementeres ved å sikre at regler og forventet atferd følger og håndhever lovene, forskriftene, kontraktene og andre lignende juridiske instrumenter som organisasjonen må overholde. f.eks. NDA (taushetserklæring), SLA (service level agreement), etc.
Fysiske kontroller implementeres først og fremst ved å bruke utstyr eller enheter som har en fysisk interaksjon med mennesker og gjenstander. f.eks. CCTV-kameraer, alarmsystemer, låser, etc.
Personalkontroll implementeres ved å gi kunnskap, utdanning, ferdigheter eller erfaring til personer for å sette dem i stand til å utføre sine aktiviteter på en sikker måte. f.eks. opplæring i sikkerhetsbevissthet, opplæring av internrevisor i ISO 27001, etc.