ISO 27002 tillhandahåller en referensuppsättning av kontrollåtgärder för informationssäkerhet, inklusive riktlinjer för genomföranden. Detta dokument är avsett för organisationer som följer ledningssystem för informationssäkerhet (ISMS) baserat på ISO/IEC 27001:2017.

Hur påverkar det din organisation?

Du undrar säkert hur den nya versionen av ISO 27002 påverkar ditt ledningssystem och hur vi som certifierad partner tar hand om anpassningen under certifieringen

Kort sagt, ingenting förändras till en början. Ni har implementerat ett ledningssystem baserat på ISO 27001 och vi kommer att genomföra revisionen i enlighet med ISO 27001. Så länge denna standard inte ändras är det inte nödvändigt att ändra ditt ledningssystem för certifieringen.

ISO 27001 kräver dock att du tillämpar riskhantering med hänsyn tagit till din organisation. Eftersom den nya ISO 27002 innehåller den senaste referensuppsättning av kontrollåtgärder förinformationssäkerhet kan den användas som en källa för dina kontrollåtgärder för riskhantering.

Eftersom avvikelser uppstår mellan kontrollåtgärderna i ISO 27002 och i bilaga A till ISO 27001 vill vi förklara två situationer som kan uppstå ipraktiken. Uppdateringen av den nuvarande ISO 27001 kommer att ta bort denna avvikels i framtiden. Vi räknar med att uppdateringen kommer att publiceras i år.

Tänkbara situationer

  1. En organisation har genomfört kontrollåtgärderna för ISO 27002:2022 bilaga A

I det här fallet kommer ingenting att förändras. Vi kommer att utföra revisionen som du är van vid. Vi förväntar oss en uppdatering av ISO 27001:2017 senare i år från den nya ISO 27002:2022. När standarden har uppdaterats kommer vi att informera dig under övergångsperioden.

  1. En organisation har genomfört kontrollåtgärderna för ISO 27002:2022

ISO 27001:2017 föreskriver att de kontrollåtgärder som har vidtagits måste jämföras med dem i bilaga A för att verifiera att ingen nödvändig kontrollåtgärder har utelämnats (avsnitt 6.1.3)
För varje kontrollåtgärd i ISO 27001 bilaga A måste du kontrollera hur detta ingår i din riskhantering. Nedan finns några exempel på hur ni kan göra detta.

Exempel

Om en organisation har genomfört andra kontrollåtgärder än de i bilaga A och bevisligen vill uppfylla kraven i ISO 27001:

  1. Du kan göra en tillämplighetsförklaring baserad på din kontrollåtgärd. För varje kontrollåtgärd identifierar ni hur den relaterar till ISO 27001 bilaga A. Listan måste kompletteras med den specifika ISO 27001 bilaga A med kontrollåtgärder som organisationen beslutat att utesluta.
  2. Du kan göra en tillämplighetsförklaring baserad på ISO 27002:2022. För varje kontrollåtgärd identifierar hur den förhåller sig till ISO 27001 bilaga A. Listan måste kompletteras med specifika kontrollåtgärder i ISO 27001 bilaga A som organisationen beslutat att utesluta.

Observera att flera kontrollåtgärder i ISO 27001 bilaga A ingår i den nya ISO 27002 som riktlinjer för implementering. Om du har följt korsreferensen i ISO 27002 Tabell B, har du inte automatiskt implementerat alla kontrollåtgärder i ISO 27001 bilaga A.

Slutsats

Oavsett vilket alternativ din organisation väljer måste du kunna demonstrera för varje kontrollåtgärd i ISO 27001:2017 bilaga Aoch andra relaterade standarder hur de riskhanteras.