ISO 27002 muuttuu olennaisesti ja enemmän kuin 27001, joka ei muutu lähes lainkaan
Pikkujuttuja - 27001
Jos ihan tarkkoja ollaan — ja kun kerran standardin kanssa toimitaan, niin todellakin ollaan tarkkoja — ISO 27001 tulee kokemaan mm. tällaisia muutoksia:
- Liite A tulee viittaamaan ISO/IEC 27002:2022 kontrolleihin
- Kohdan 6.1.3 c) huomautuksen termejä on yhdenmukaistettu
- Kohdan 6.1.3 d) sanamuotoa on tarkistettu selkeyden parantamiseksi ja epäselvyyksien poistamiseksi
Lyhyesti voidaan siis todeta, että ISO 27001 ei varsinaisesti muutu — mutta selkiytyy.
Isompia juttuja - 27002
Siinä missä ISO 27001 vain hieman selkiytyy, voidaan ISO 27002:n sanoa mullistuvan lähestulkoon vallankumouksellisesti. Muutoksia tullaan näkemään hallintakeinoissa ja niiden luokittelussa. Uudessa versiossa hallintakeinojen nettomäärä putoaa parilla kymmenellä ja ne on luokiteltu sellaisiin teemoihin kuten organisaation hallinta, ihmiset, fyysiset kontrollit ja teknologia.
Joitakin uusia hallintakeinoja on lisätty ja ne vastaavat muuttuneeseen uhkamaisemaan. Uudet hallintakeinot kattavat aiheita kuten threat intelligence, identiteetinhallinta, pilvipalvelujen tietoturva, liiketoiminnan jatkuvuus, fyysisen turvallisuuden valvonta, käyttäjien päätelaitteet, konfiguraationhallinta, tietojen turvallinen poistaminen, data masking, tietovuotojen esto, verkkoliikenteen suodatus ja tietoturvallinen ohjelmistokehitys. Kontrolleihin on uutena ominaisuutena myös liitetty hashtageja, joilla mm. voidaan muodostaa yhteys NIST Cybersecurity Frameworkin viiteen perusfunktioon (Identify, Protect, Detect, Respond, Recover) sekä ilmaista entistä paremmin, onko kyseinen hallintakeino luonteeltaan ehkäisevä, havainnoiva vai korjaava.
Joitakin kontrolleja on poistettu valikoimasta kokonaan. Tavoitteena on välttää päällekkäisyyksiä ja parantaa asemointia uusien kontrollien kanssa. Esimerkkejä poistuvista kontrolleista ovat mobiililaitteita koskeva politiikka, suojattavan omaisuuden omistajuus, salasanojen hallintajärjestelmä sekä toimitus- ja kuormausalueet.
Mitä nyt kannattaa tehdä?
ISO 27001 -standardin julkaisun jälkeen selviää, kuinka pitkä siirtymäaika 2013-versiosta myönnetään — tyypillisesti se on 12 tai 24 kuukautta. Mikäli julkaisu oikeasti tapahtuu maaliskuussa 2022, tarkoittaisi 12 kuukauden siirtymäaika sitä, että kaikissa maaliskuun 2023 jälkeen tapahtuvissa sertifiointi- tai -valvonta-auditoinneissa olisi käytettävä standardin uutta versiota.
Tätä varmaa, mutta aikataulullisesti vielä hieman avointa julkaisutapahtumaa odotellessa on hyvä esimerkiksi:
- läpikäydä nykyiset kontrollit uuden 27002:n mukaisesti (esim. seuraavan sisäisen auditoinnin yhteydessä)
- päivittää riskiarvioinnit ja SoA, koska riskien pienentämiseen käytettävät kontrollitkin tulevat päivittymään
- varmistaa GRC- ja SIEM -raportointityökalujen yhteensopivuus uusien vaatimusten kanssa
- päivittää mittarit ja metriikat vastaamaan uusia riskiarvioita ja Annex A:n muutoksia
- päivittää sisäinen auditointiohjelma vastaamaan ISMS:aan tehtyjä muutoksia
Paras ISO27001 sertifioitumisprojektinne koskaan
ISO27001 -sertifointiprojektin aloittaminen on haastavaa. On templateja, on ajatuksia, on olemassa olevaa dokumentaatiota – ja päällimmäisenä paljon kysymyksiä. Mistä tahansa asiaa katsookin, tuntuu että jostain toisesta paikasta olisi sittenkin parempi aloittaa. Ja tuleva tuntematon, eli auditointi pelottaa.
Kirjastojenhallinta – SCA – ja moninaiset viitekehykset ja vaatimukset
Yhä useampi standardi, viitekehys ja asiakasvaatimus edellyttää – peräti huutaa – kirjastonhallinnan perään. Huutaa siksi että modernit sovelluskehitysmenetelmät ovat täysin riippuvaisia ulkoisista kirjastoista eli riippuvuuksista.
