ISO 27001 och ISO 27002 hör nära ihop, men de har olika roller. Det är vanligt att standarderna blandas ihop, särskilt när organisationer börjar arbeta med informationssäkerhet eller förbereder sig för ISO 27001-certifiering.
Den korta förklaringen är:
| ISO 27001 ISO 27001 är kravstandarden som ni kan certifiera ert ledningssystem mot. Den beskriver vad ett ledningssystem för informationssäkerhet behöver uppfylla. |
ISO 27002 ISO 27002 är en vägledning som hjälper er att förstå och införa informationssäkerhetskontrollerna i praktiken. |
| Går att certifiera sig mot? Ja, ISO 27001 är certifieringsstandarden. |
Går att certifiera sig mot? Nej, ISO 27002 används som stöd och vägledning. |
| Hur används de tillsammans? ISO 27001 ger strukturen för ledningssystemet. ISO 27002 hjälper er att tolka och arbeta praktiskt med kontrollerna, till exempel när ni tar fram Statement of Applicability, väljer skyddsåtgärder och inför relevanta rutiner. |
|
Med andra ord beskriver ISO 27001 vad ett ledningssystem för informationssäkerhet behöver uppfylla, medan ISO 27002 ger vägledning kring hur kontrollerna kan förstås, införas och följas upp i praktiken.
För organisationer som vill certifiera sig mot ISO 27001 blir ISO 27002 därför ofta ett viktigt stöd i arbetet med riskbehandling, kontrollval och Statement of Applicability.
Ecowise hjälper organisationer att förstå skillnaden, välja rätt kontroller, ta fram Statement of Applicability och bygga ett ledningssystem för informationssäkerhet som fungerar i vardagen.
Vill ni veta hur ISO 27001 och ISO 27002 påverkar ert certifieringsarbete? Kontakta Ecowise så hjälper vi er att reda ut nästa steg.
ISO 27001, kravstandarden
ISO 27001 är den centrala kravstandarden för ledningssystem för informationssäkerhet, ofta kallat LIS eller ISMS. Det är denna standard organisationer certifierar sig mot.
Standarden anger vilka krav organisationen behöver uppfylla för att etablera, införa, underhålla och ständigt förbättra ett ledningssystem för informationssäkerhet. Den handlar alltså inte bara om tekniska säkerhetsåtgärder, utan om hur informationssäkerhet styrs, leds, dokumenteras, följs upp och förbättras.
ISO 27001 består i praktiken av två viktiga delar:
- Kraven i klausul 4 till 10
- Bilaga A med referenskontroller
Klausul 4 till 10 styr ledningssystemet
Klausul 4 till 10 beskriver hur organisationen ska bygga och driva sitt ledningssystem.
De täcker bland annat:
- Verksamhetens kontext och intressenter
- Ledningens ansvar
- Planering, riskhantering och mål
- Resurser, kompetens och dokumenterad information
- Drift och genomförande
- Uppföljning, mätning, internrevision och ledningens genomgång
- Avvikelser, korrigerande åtgärder och ständig förbättring
Det är dessa delar som gör ISO 27001 till ett styrningsramverk, inte bara en säkerhetschecklista. Organisationen behöver kunna visa att informationssäkerheten är riskbaserad, dokumenterad, ansvarsfördelad och uppföljd över tid.
Bilaga A innehåller 93 referenskontroller
ISO/IEC 27001:2022 innehåller även Bilaga A, där det finns 93 referenskontroller. Dessa kontroller är organiserade i fyra huvudområden: organisatoriska, mänskliga, fysiska och tekniska kontroller.
Bilaga A används som stöd när organisationen väljer vilka säkerhetsåtgärder som behövs för att hantera identifierade risker. Det betyder inte att alla kontroller automatiskt måste införas. Däremot behöver organisationen ta ställning till vilka kontroller som är relevanta, varför de behövs och hur de hanteras.
Detta dokumenteras i ett Statement of Applicability, ofta förkortat SoA.
ISO 27002, vägledning för kontroller
ISO 27002 är inte en certifieringsstandard. Ni kan alltså inte bli certifierade enligt ISO 27002 på samma sätt som ni kan bli certifierade enligt ISO 27001.
I stället fungerar ISO 27002 som en praktisk vägledning för hur informationssäkerhetskontroller kan förstås och införas. Den används ofta som en implementeringshandbok när organisationen arbetar med Bilaga A i ISO 27001.
Där ISO 27001 anger vilka krav ledningssystemet ska uppfylla, hjälper ISO 27002 er att förstå kontrollernas syfte, innehåll och möjliga tillämpning.
De fyra kontrollfamiljerna
I ISO 27001:2022 är kontrollerna i Bilaga A indelade i fyra kontrollfamiljer. ISO 27002 används för att arbeta mer praktiskt med dessa.
| Organisatoriska kontroller Organisatoriska kontroller handlar om styrning, ansvar, policyer, processer, leverantörer, incidenter, kontinuitet och efterlevnad.Exempel kan vara informationssäkerhetspolicy, roller och ansvar, riskhantering, leverantörskrav, incidentprocesser och kontinuitetsplanering. Detta är ofta de kontroller som tydligast kopplar informationssäkerheten till verksamhetens ledning och styrning. |
Mänskliga kontroller Mänskliga kontroller handlar om personer, kompetens, ansvar och beteenden.Det kan handla om utbildning, medvetenhet, ansvar vid anställning, hantering av roller, sekretess och vad som gäller när en anställning eller ett uppdrag avslutas. Många informationssäkerhetsbrister uppstår inte för att tekniken saknas, utan för att människor saknar kunskap, tydliga rutiner eller förståelse för sitt ansvar. |
| Fysiska kontroller Fysiska kontroller handlar om skydd av lokaler, utrustning och fysisk åtkomst.Det kan till exempel röra sig om åtkomst till kontor, serverutrymmen, besöksrutiner, skydd av utrustning, miljörisker och hantering av fysisk information. Även organisationer med huvudsakligen molnbaserad IT behöver ta ställning till fysiska risker, särskilt kopplat till arbetsplatser, utrustning och hantering av känslig information. |
Tekniska kontroller Tekniska kontroller handlar om skydd i system, nätverk, applikationer och digitala miljöer.Det kan till exempel handla om identitet och behörighet, autentisering, loggning, kryptering, säkerhetskopiering, sårbarhetshantering, nätverkssäkerhet och säker systemutveckling. Det är ofta här många först tänker på informationssäkerhet. Men i ISO 27001 är de tekniska kontrollerna bara en del av helheten. De behöver kopplas till risker, ansvar, rutiner och uppföljning. |
Hur används ISO 27002 i ett ISO 27001-projekt?
ISO 27002 blir särskilt användbar när organisationen ska gå från övergripande krav till praktiskt införande.
Den används ofta när ni ska:
- Tolka kontrollerna i Bilaga A
- Bedöma vilka kontroller som är relevanta
- Ta fram eller uppdatera rutiner
- Skriva Statement of Applicability
- Formulera säkerhetskrav till leverantörer
- Bedöma tekniska och organisatoriska åtgärder
- Planera förbättringar
- Förbereda er inför internrevision eller certifieringsrevision
Det är viktigt att förstå att ISO 27002 inte ersätter riskbedömningen. Kontrollerna ska inte införas slentrianmässigt. De ska väljas utifrån organisationens risker, krav, informationstillgångar, verksamhet och mål.
Det är här Ecowise kan hjälpa er att skapa balans. Målet är inte att bygga ett onödigt tungt kontrollsystem, utan att välja och dokumentera de kontroller som är relevanta och rimliga för er organisation.
Få hjälp med ISO 27001 och ISO 27002
Vad är Statement of Applicability, SoA?
Statement of Applicability, ofta kallat SoA, är ett centralt dokument i ISO 27001-arbetet.
Det är dokumentet som binder ihop riskbedömningen med valet av säkerhetskontroller. I SoA redovisar organisationen vilka kontroller som är tillämpliga, varför de är valda, hur de hanteras och om några kontroller har valts bort.
En SoA svarar i praktiken på frågor som:
- Vilka kontroller i Bilaga A är relevanta för oss?
- Varför behöver vi dessa kontroller?
- Vilka kontroller är inte tillämpliga och varför?
- Hur är kontrollerna implementerade?
- Vem ansvarar för dem?
- Hur följer vi upp att de fungerar?
- Vilka kontroller kopplar till identifierade risker?
- Vilka kontroller kopplar till lagkrav, kundkrav eller avtalskrav?
SoA är viktigt eftersom det visar att organisationen inte bara har tittat på kontrollistan, utan faktiskt gjort ett medvetet urval baserat på risker och krav.
Varför är SoA centralt vid certifiering?
Vid en ISO 27001-certifiering granskar certifieringsorganet inte bara om dokument finns. De vill se att ledningssystemet hänger ihop.
| SoA visar kopplingen mellan risk och kontroll Dokumentet binder ihop organisationens scope, identifierade risker, riskbehandling och valda kontroller. |
SoA visar varför kontroller valts eller valts bort Det blir tydligt vilka kontroller som är relevanta, vilka som inte är tillämpliga och varför. |
| SoA stödjer revisionen Vid internrevision och certifieringsrevision blir SoA ett viktigt underlag för att visa hur ledningssystemet fungerar. |
SoA bör växa fram under projektet Ett vanligt misstag är att fylla i SoA i slutet. I praktiken bör den utvecklas tillsammans med riskbedömningen och riskbehandlingen. |
Om SoA är otydligt blir det svårt att visa varför vissa kontroller finns, varför andra har valts bort och hur organisationen faktiskt hanterar sina informationssäkerhetsrisker.
Vanliga missförstånd om ISO 27001 och ISO 27002
“Vi behöver bara ISO 27002 eftersom den innehåller kontrollerna”
Nej. ISO 27002 ger vägledning för kontroller, men den ersätter inte ledningssystemkraven i ISO 27001. Utan ISO 27001 saknas strukturen för styrning, ansvar, riskhantering, uppföljning och förbättring.
“ISO 27001 handlar bara om dokumentation”
Nej. Dokumentation är viktig, men ISO 27001 handlar framför allt om ett fungerande arbetssätt. Organisationen behöver kunna visa att ledningssystemet används i praktiken.
”Alla kontroller i Bilaga A måste införas”
Nej. Kontrollerna ska bedömas utifrån risker, krav och verksamhetens behov. Vissa kontroller kan vara relevanta, andra kan väljas bort med tydlig motivering.
“ISO 27002 går att certifiera sig mot”
Nej. ISO 27002 är vägledning. Det är ISO 27001 som är certifieringsstandarden.
“SoA är bara en checklista”
Nej. SoA är ett styrande dokument som visar vilka kontroller som är relevanta, varför de är valda och hur de kopplar till risker och krav.
Hur hjälper Ecowise er med ISO 27001 och ISO 27002?
Ecowise hjälper organisationer att förstå och omsätta kraven i ISO 27001 till ett praktiskt ledningssystem för informationssäkerhet. Vi hjälper er också att använda ISO 27002 som stöd när ni ska välja, tolka och implementera relevanta kontroller.
Vi kan bland annat hjälpa er med:
- Gap-analys mot ISO 27001
- Scope och projektplan
- Riskbedömning och riskbehandling
- Genomgång av Bilaga A
- Framtagning av Statement of Applicability
- Policyer, rutiner och styrdokument
- Leverantörsstyrning
- Incidenthantering
- Internrevision och ledningens genomgång
- Förberedelse inför certifiering
Som digitalt stöd kan Spineweb användas för att samla risker, dokument, leverantörer, incidenter, mål och uppföljning i ett gemensamt system. Det gör det enklare att hålla ledningssystemet levande och visa evidens vid internrevision, kundgranskning eller certifieringsrevision.
Vanliga frågor om ISO 27001 och ISO 27002
Vad är skillnaden mellan ISO 27001 och ISO 27002?
Kan man certifiera sig enligt ISO 27002?
Vad är Bilaga A i ISO 27001?
Vad är Statement of Applicability?
Måste alla kontroller i ISO 27001 användas?
När används ISO 27002?
Behöver vi både ISO 27001 och ISO 27002?
Vill ni förstå vilka kontroller som gäller för er?
Skillnaden mellan ISO 27001 och ISO 27002 blir viktig när ni ska gå från ambition till praktiskt arbete. ISO 27001 visar vad ledningssystemet behöver uppfylla. ISO 27002 hjälper er att förstå hur kontrollerna kan införas i praktiken.
Ecowise hjälper er att göra rätt avvägningar, välja relevanta kontroller och skapa ett Statement of Applicability som håller ihop riskbedömning, krav och praktiskt införande.
Kontakta Ecowise så hjälper vi er att komma vidare med ISO 27001, ISO 27002 och ett fungerande ledningssystem för informationssäkerhet.