ISO27002 standarden opdateres
Den længe ventede opdatering til ISO 27002 standarden er nu lige på trapperne og man forventer en endelig godkendelse i løbet af 2021.
For dem som allerede er certificeret eller som efterlever standarden så vil det betyde en del ændringer. Ændringer som vi mener på sigt vil gøre det letter og hurtigere at fokusere indsatsen i forhold til at øge informationssikkerheden i virksomheden
De vigtigste ændringer som vi ser, er følgende:
Tema struktur.
Indførsel af tema struktur, hvor områder og foranstaltninger/kontroller mm. inddeles i 4 områder, organisatorisk, Adfærdsmæssig, fysisk og teknologisk.
Ud fra vores erfaring giver det god mening at indfører temaerne så tidligt så muligt i processen dvs. i risikovurdering og evt. i sin risiko appetit.
Nye/ændrede foranstaltninger.
Det eksisterende antal foranstaltninger reduceres fra 114 til 96, til gengæld er en stor del af foranstaltningerne opdateret eller nye og det gælder især de tekniske foranstaltninger hvor en del har fokus på it-sikkerhed.
Attributter
Man indfører i den nye version af standarden, anvendelsen af attributter, en attribut skal synliggøre de egenskaber som en foranstaltning har. Attributterne er opdelt i fem kategorier: Type af foranstaltning, Egenskab for informationssikkerhed, Cybersikkerhedskoncept, Operationelle ressourcer og Sikkerhedsdomæne.
En ”type af foranstaltning” kan f.eks. Være: Forbyggende, Opdagende eller korrigerende.
I forbindelse med attributter har man ligeledes indført begrebet ”Cybersikkerhedkoncept” som basere sig på NIST frameworket. De fem attributter herunder er Identify, Protect, Detect, Respond og Recover.
Leave a Mark Consulting Group har allerede implementeret de nye tiltag i vores eget setup for certificering, så ønsker i at hører mere om de nye ændringer er i meget velkommen til at kontakt os på 535 27000
