ISO/IEC och Nyheter

Storlek: px

Starta visningen från sidan:

Download "ISO/IEC och Nyheter"

Hugo Nilsson
för 7 år sedan
Visningar:

1 ISO/IEC och Nyheter

2 Bakgrund till revisionen ISO/IEC och var cirka 10 år gamla och behövde uppdateras Harmonisering av ledningssystem (Annex SL)

3 ISO/IEC 27001:2013(2014)

4 ISO/IEC Harmonisering All ISO management system standards will in the future be aligned according to an agreed high level structure, identical core text and common terms and core definitions (ISO/IEC Directives Part 1, Annex SL, Appendix 3)

5 ISO/IEC Harmonisering I stort följdes Annex SL, endast ett smärre antal deviations varav en del mer eller mindre editoriella. Editinggruppen valde att använda risk som definierat i ISO Guide 73 och ISO 31000

6 Nya ISO/IEC Större betoning på affärsfokus Att besluta om att införa LIS är ett strategiskt affärsbeslut om att upprätta, införa, underhålla och ständigt förbättra ett ledningssystem för informationssäkerhet Ett LIS för att uppnå effektiv informationssäkerhet

7 27001:2005 Ledningssystem för informationssäkerhet Ledningens ansvar Interna revisioner av LIS Ledningen genomgång av LIS Förbättring av LIS 27001:2013 (2014) Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Utvärdering av prestanda Förbättringar Specifik text för LIS Identical core text (Annex SL) Specifika tillägg för LIS

8 Nya ISO/IEC 27001:2013 (2014) Riskhanteringen i är nu harmoniserad med ISO Detta innebär att riskhanteringen är harmoniserad i alla ledningssystem som använder risk. Annex A speglar den reviderade versionen av ISO/IEC 27002:2013(Sv. översättning 2014)

9 Övergripande Nyheter Ny struktur Ingen PDCA, föreskriver ingen särskild processmodell Tydlig verksamhetskartläggning i organisationen förutsättningar, breddad definition av intressent Ledarskap innehåller en tydlig skärpning när det gäller ledningens ansvar, engagemang, och att ge tydligt stöd för arbetet

10 Övergripande Nyheter forts. Planering innehåller nu en ny typ av risker, risker för ledningssystemet, utöver vår traditionella riskhantering Stöd är betydligt mer tydligt vilket stöd som måste finnas i ledningssystemet Minskat fokus på dokumentation (dokumenterad information), öppnar för att organisationen kan välja vilken nivå av dokumentation som behövs

11 Övergripande Nyheter forts. Verksamhet beskriver de dagliga arbetet med att planera och genomföra verksamheten inklusive att genomföra riskbedömning och riskbehandling Förbättringar innehåller nu endast avvikelser och korrigerande åtgärder preventive action är nu borta.

12 ISO/IEC kapitel 4 organisationens förutsättningar Att förstå organisationen och dess förutsättningar Att förstå intressenters behov och förväntningar Att bestämma ledningssystemets omfattning Ledningssystem för informationssäkerhet Större fokus på verksamheten

13 ISO/IEC kapitel 5 ledarskap Ledarskap och engagemang Policy Befattningar, ansvar och befogenheter inom organisationen Tydligare krav på ledningens commitment och direkta engagemang

14 Risk och SOA Kraven på riskbedömning är mer allmänna, eftersom 27001:2013 har anpassats till ISO 31000:2009 För att identifiera risker är det inte nödvändigt att identifiera tillgångar, hot och sårbarheter. Om din organisations nuvarande metod för riskbedömning använder en metod som bygger på tillgångar, hot och sårbarheter är detta helt OK. Men man kan också använda andra alternativa metoder som är lika giltiga för att identifiera, bedöma och utvärdera risker. Kravet på SOA är i stort sett samma som i tidigare version, men du behöver inte "välja" kontroller från bilaga A. Istället fastställer" man de säkerhetsåtgärder som behövs som en del av riskbehandlingen och jämför dessa säkerhetsåtgärder med de i bilaga A för att säkerställa att ingen viktig säkerhetsåtgärd har förbisetts.

15 Preventive actions Förebyggande åtgärder har tagits bort från den reviderade versionen, men är omstöpt i som ett allmänt krav rörande riskhantering: När organisationen planerar ledningssystemet för informationssäkerhet ska den beakta de frågor som hänvisas till i 4.1 och de krav som hänvisas till i 4.2 samt avgöra vilka risker och möjligheter som behöver hanteras för att a) säkra att ledningssystemet för informationssäkerhet kan ge avsett resultat; b) förebygga eller minska oönskade effekter; och c) uppnå ständig förbättring.

16 27001 kapitel 7 stöd Resurser Kompetens Medvetenhet Kommunikation Dokumenterad information Större fokus på verksamhetens förmåga och möjligheter

17 ISO/IEC kapitel 8 verksamhet Planering och styrning av verksamheten Bedömning av informationssäkerhetsrisker Behandling av informationssäkerhetsrisker I driftsfasen ska organisationen planera, genomföra och kontrollera de processer som är nödvändiga för att uppfylla kraven på informationssäkerhet och genomföra de åtgärder som beslutats i planeringsfasen (6.1) Denna fas handlar också om att ha processer och planer på plats för att uppnå målen för informationssäkerhet i ett operativt sammanhang (6.2)

18 8.2 Bedömning av informationssäkerhetsrisker Organisationen ska genomföra bedömningar av informationssäkerhetsrisker med planerade intervall eller när betydande förändringar föreslås eller uppstår, med hänsyn till de kriterier som fastställts.. Riskanalys Riskanalys Riskanalys

19 8.3 Behandling av informationssäkerhetsrisker Organisationen ska införa planen för behandling av informationssäkerhetsrisker. Vilka åtgärder behöver vidtas Resurser för att genomföra förändringen (personal, budget, teknologi, tjänster, processer Vem är ansvarig för arbetet När påbörjas och avslutas aktiviteten Hur ska åtgärden följas upp, och utvärderas

20 ISO/IEC kapitel 9 utvärdering av prestanda Övervakning, mätning, analys och utvärdering Internrevision Ledningens genomgång Vad som övervakas och mäts indikerar hur LIS fungerar

21 ISO/IEC 27002:2013 (2014)

22 Nyheter ISO/IEC Ny struktur Antal skyddsåtgärder minskat från 133 till 114 Antal kapitel har utökats genom att de gamla teknikkapitlen har brutits upp Renodlad att endast innehålla säkerhetsåtgärder

23 Kapitel Rubrik Antal skyddsåtgärder 5 Informationssäkerhetspolicyer 2 6 Organisation av informationssäkerhet 7 7 Personalsäkerhet 6 8 Hantering av tillgångar 10 9 Styrning av åtkomst Kryptografi 2 11 Fysisk och miljörelaterad säkerhet Driftsäkerhet Kommunikationssäkerhet 7 14 Anskaffning, utveckling och underhåll av system Leverantörsrelationer 5 16 Information security incident management 7 17 Hantering av informationssäkerhetsincidenter informationssäkerhetsaspekter avseende hantering av 4 verksamhetens kontinuitet 18 Efterlevnad 8 23

24 Kopplingen mellan ISO/IEC och ISO/IEC ISO/IEC Krav Omfattnning Normativa hänvisningar Termer och definitioner Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Utvärdering av prestanda Förbättringar Bilaga A (normativ) Åtgärdsmål och säkerhetsåtgärder ISO/IEC Säkerhetsåtgärder Omfattning Normativa hänvisningar Termer och definitioner Denna standards struktur Informationssäkerhetspolicyer Organisation av informationssäkerhet Personalsäkerhet Hantering av tillgångar Styrning av åtkomst Kryptografi Fysisk och miljörelaterad säkerhet Driftsäkerhet Kommunikationssäkerhet Anskaffning, utveckling och underhåll av system Leverantörsrelationer Hantering av informationssäkerhetsincidenter Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet Efterlevnad

25 Några viktiga punkter Kap. 5 behandlar både informationssäkerhetspolicyn och lågnivå -policyer (riktlinjer/regler) Mobila enheter och distansarbete ingår i kap. 6 Kap. 8 inkluderar klassning, märkning, hantering, hantering, avveckling och transport av lagringsmedia, Kap. 9 Hantering av åtkomst är mer utvecklat

26 Några viktiga punkter forts. Kryptering är nu ett eget kapitel Kapitel 12 knyter an en hel del till ITIL-processer i drift och inkluderar även säkerhetskopiering, loggning samt hantering av sårbarheter Kap. 13 kommunikationssäkerhet inkluderar skydd vid informationsöverföring, elektroniska meddelanden samt konfidentialitet (inkl. avtal) Anskaffning, utveckling och underhåll av system är nu ett eget kapitel (14)

27 Några viktiga punkter forts. Nytt kapitel 15 om leverantörsrelationer (outsourcing) Kapitel 17 handlar nu endast om kontinuiteten för informationssäkerheten, inte verksamheten!

28 SLUT NÅGRA FRÅGOR??

Relevanta dokument

Ledningssystem för Informationssäkerhet

Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställd av Säkerhetschefen 2016-04-26 Innehåll 1 Inledning... 3 2 Organisationens förutsättningar...