Säkerhetsåtgärder
Elementet säkerhetsåtgärder definieras i ISO 27002:2022 i fyra teman:
a) Personrelaterade, om de avser enskilda personer,
b) Fysiska, om de avser fysiska entiteter,
c) Tekniska, om de avser teknik,
d) Organisatoriska i övriga fall.
Respektive säkerhetsåtgärd har attribut vars syfte är att ge organisationer möjlighet att skapa olika vyer/kategoriseringar av säkerhetsåtgärderna.
Dessa attribut är:
a) Typ av säkerhetsåtgärder (#förebyggande, #upptäckande, #korrigerande)
b) Informationssäkerhetsegenskaper (#konfidentialitet, #riktighet, #tillgänglighet)
c) Cybersäkerhetskoncept (#identifiera, #skydda, #upptäcka, #hantera, #återställa)
d) Operativ förmåga (#styrning, #hantering_av_tillgångar, #skydd_av_information, #personalsäkerhet, #fysisk_säkerhet, #nätverks-_och_systemsäkerhet, #applikationssäkerhet, #säker_konfiguration, #identitets-_och_åtkomsthantering, #hantering_av_hot_och_sårbarhet, #kontinuitet, #säkerhet_i_leverantörsrelationer, #juridik_och_efterlevnad, #hantering_av_informationssäkerhetshändelser, #informationssäkerhetsassurans)
e) Säkerhetsdomäner (#styrning_och_ekosystem, #skydd, #försvar, #resiliens)
Nedan ges några exempel på säkerhetsåtgärder grupperade efter tema med tillhörande attribut utifrån ISO 27002:2022 (Bilaga A)
ISO/IEC 27002 säkerhetsåtgärdens tema | ISO/IEC 27002 Säkerhetsåtgärdens id | Säkerhetsåtgärd | Typ av säkerhetsåtgärd | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativ förmåga | Säkerhets domäner |
Organisatoriska säkerhetsåtgärder | 5.10 | Regler för tillåten användning och rutiner för hantering av information och andra relaterade tillgångar bör identifieras, dokumenteras och tillämpas. | förebyggande | konfidentialitet | skydda | #hantering_av_ | #styrning_och_ |
Organisatoriska säkerhetsåtgärder | 5.15 | Regler för att kontrollera fysisk och logisk åtkomst till information och andra relaterade tillgångar bör upprättas och genomföras, baserat på verksamhets- och informationssäkerhetskrav. | förebyggande | konfidentialitet | skydda | #identitets-_och_åtkomsthantering | #skydd |
Organisatoriska säkerhetsåtgärder | 5.35 | Organisationens tillvägagångssätt för att hantera informationssäkerhet och dess implementering, inklusive personer, processer och teknik, bör med jämna mellanrum, eller när betydande förändringar sker, genomgå oberoende granskning. | förebyggande | konfidentialitet | identifiera | #informationssäkerhetsassurans | #styrning_och_ |
Personrelaterade säkerhetsåtgärder | 6.2 | Personalens och organisationens ansvar för informationssäkerheten bör anges i anställningsavtal. | förebyggande | konfidentialitet | skydda | #personalsäkerhet | #styrning_och_ |
Personrelaterade säkerhetsåtgärder | 6.3 | Organisationens personal och relevanta intressenter bör erhålla lämplig utbildning och övning för ökad medvetenhet om informationssäkerhet samt regelbundna uppdateringar vad gäller organisationens informationssäkerhetspolicy, ämnesspecifika policyer och rutiner utifrån vad som är relevant för deras arbetsuppgifter. | förebyggande | konfidentialitet | skydda | #personalsäkerhet | #styrning_och_ |
Personrelaterade säkerhetsåtgärder | 6.7 | När personal arbetar på distans bör säkerhetsåtgärder genomföras för att skydda information som nås, bearbetas eller lagras utanför organisationens lokaler. | förebyggande | konfidentialitet | skydda | #hantering_av_ | #skydd |
Fysiska säkerhetsåtgärder | 7.2 | Säkrade områden bör skyddas genom lämpliga tillträdesbegränsningar och åtkomstpunkter. | förebyggande | konfidentialitet | skydda | #fysisk_säkerhet |
#skydd |
Fysiska säkerhetsåtgärder | 7.12 | Kablar för strömförsörjning, data eller stödjande informationstjänster bör skyddas från avlyssning, störningar och skada. | förebyggande | konfidentialitet | skydda | #fysisk_säkerhet |
#skydd |
Fysiska säkerhetsåtgärder | 7.7 | Regler om rent skrivbord avseende papper och flyttbara lagringsmedier respektive tom skärm avseende informationsbehandlingsresurser bör fastställas samt tillämpas på lämpligt sätt. | förebyggande | konfidentialitet | skydda | #fysisk_säkerhet |
#skydd |
Tekniska säkerhetsåtgärder | 8.6 | Resursanvändningen bör övervakas samt justeras i enlighet med aktuella och väntade kapacitetskrav. | förebyggande | riktighet | identifiera | #kontinuitet | #styrning_och_ekosystem |
Tekniska säkerhetsåtgärder | 8.7 | Skydd mot skadlig kod bör införas, med stöd av en lämplig medvetenhetsnivå bland användarna. | förebyggande | riktighet | skydda | #nätverks-_och_systemsäkerhet | #skydd |
Tekniska säkerhetsåtgärder | 8.8 | Information om tekniska sårbarheter i de informationssystem som används bör inhämtas, organisationens exponering för sådana sårbarheter granskas och lämpliga åtgärder vidtas. | förebyggande | konfidentialitet |
|
|
|