Säkerhetsåtgärder

Elementet säkerhetsåtgärder definieras i ISO 27002:2022 i fyra teman:

a) Personrelaterade, om de avser enskilda personer,

b) Fysiska, om de avser fysiska entiteter,

c) Tekniska, om de avser teknik,

d) Organisatoriska i övriga fall.

 

Respektive säkerhetsåtgärd har attribut vars syfte är att ge organisationer möjlighet att skapa olika vyer/kategoriseringar av säkerhetsåtgärderna.

Dessa attribut är:

a) Typ av säkerhetsåtgärder (#förebyggande, #upptäckande, #korrigerande)

b) Informationssäkerhetsegenskaper (#konfidentialitet, #riktighet, #tillgänglighet)

c) Cybersäkerhetskoncept (#identifiera, #skydda, #upptäcka, #hantera, #återställa)

d) Operativ förmåga (#styrning, #hantering_av_tillgångar, #skydd_av_information, #personalsäkerhet, #fysisk_säkerhet, #nätverks-_och_systemsäkerhet, #applikationssäkerhet, #säker_konfiguration, #identitets-_och_åtkomsthantering, #hantering_av_hot_och_sårbarhet, #kontinuitet, #säkerhet_i_leverantörsrelationer, #juridik_och_efterlevnad, #hantering_av_informationssäkerhetshändelser, #informationssäkerhetsassurans)

e) Säkerhetsdomäner (#styrning_och_ekosystem, #skydd, #försvar, #resiliens)

Nedan ges några exempel på säkerhetsåtgärder grupperade efter tema med tillhörande attribut utifrån ISO 27002:2022 (Bilaga A)

 

ISO/IEC 27002 säkerhetsåtgärdens tema

ISO/IEC 27002 Säkerhetsåtgärdens id

Säkerhetsåtgärd

Typ av säkerhetsåtgärd

Informationssäkerhetsegenskaper

 Cybersäkerhetskoncept

 Operativ förmåga

 Säkerhets domäner

Organisatoriska säkerhetsåtgärder

5.10

Regler för tillåten användning och rutiner för hantering av information och andra relaterade tillgångar bör identifieras, dokumenteras och tillämpas.

förebyggande

konfidentialitet
riktighet
tillgänglighet

skydda

#hantering_av_
tillgångar
#informationsskydd

#styrning_och_
ekosystem
#skydd

Organisatoriska säkerhetsåtgärder

5.15

Regler för att kontrollera fysisk och logisk åtkomst till information och andra relaterade tillgångar bör upprättas och genomföras, baserat på verksamhets- och informationssäkerhetskrav.

förebyggande

konfidentialitet
riktighet
tillgänglighet

skydda

#identitets-_och_åtkomsthantering

#skydd

Organisatoriska säkerhetsåtgärder

5.35

Organisationens tillvägagångssätt för att hantera informationssäkerhet och dess implementering, inklusive personer, processer och teknik, bör med jämna mellanrum, eller när betydande förändringar sker, genomgå oberoende granskning.

förebyggande
korrigerande 

konfidentialitet
riktighet
tillgänglighet

identifiera
skydda

#informationssäkerhetsassurans

#styrning_och_
ekosystem

Personrelaterade säkerhetsåtgärder

6.2

Personalens och organisationens ansvar för informationssäkerheten bör anges i anställningsavtal.

förebyggande

konfidentialitet
riktighet
tillgänglighet

skydda

#personalsäkerhet

#styrning_och_
ekosystem

Personrelaterade säkerhetsåtgärder

6.3

Organisationens personal och relevanta intressenter bör erhålla lämplig utbildning och övning för ökad medvetenhet om informationssäkerhet samt regelbundna uppdateringar vad gäller organisationens informationssäkerhetspolicy, ämnesspecifika policyer och rutiner utifrån vad som är relevant för deras arbetsuppgifter.

förebyggande

konfidentialitet
riktighet
tillgänglighet

skydda

#personalsäkerhet

#styrning_och_
ekosystem

Personrelaterade säkerhetsåtgärder

6.7

När personal arbetar på distans bör säkerhetsåtgärder genomföras för att skydda information som nås, bearbetas eller lagras utanför organisationens lokaler.

förebyggande

konfidentialitet
riktighet
tillgänglighet

skydda

#hantering_av_
tillgångar
#informationsskydd
#fysisk_säkerhet
#nätverks-_och
_systemsäkerhet

#skydd

Fysiska säkerhetsåtgärder

7.2

Säkrade områden bör skyddas genom lämpliga tillträdesbegränsningar och åtkomstpunkter.

förebyggande

konfidentialitet
riktighet
tillgänglighet

skydda

#fysisk_säkerhet
#identitets-_och_
åtkomsthantering

 

#skydd

Fysiska säkerhetsåtgärder

7.12

Kablar för strömförsörjning, data eller stödjande informationstjänster bör skyddas från avlyssning, störningar och skada.

förebyggande

konfidentialitet 
tillgänglighet

skydda

#fysisk_säkerhet

 

#skydd

Fysiska säkerhetsåtgärder

7.7

Regler om rent skrivbord avseende papper och flyttbara lagringsmedier respektive tom skärm avseende informationsbehandlingsresurser bör fastställas samt tillämpas på lämpligt sätt.

förebyggande

konfidentialitet  

skydda

#fysisk_säkerhet

 

#skydd

Tekniska säkerhetsåtgärder

8.6

Resursanvändningen bör övervakas samt justeras i enlighet med aktuella och väntade kapacitetskrav.

förebyggande
upptäckande

riktighet
tillgänglighet

identifiera
skydda
upptäcka

#kontinuitet

#styrning_och_ekosystem
#skydd

Tekniska säkerhetsåtgärder

8.7

Skydd mot skadlig kod bör införas, med stöd av en lämplig medvetenhetsnivå bland användarna.

förebyggande
upptäckande
korrigerande
konfidentialitet 

riktighet
tillgänglighet

skydda
upptäcka

#nätverks-_och_systemsäkerhet
#informationsskydd 

#skydd
#försvar

Tekniska säkerhetsåtgärder

8.8

Information om tekniska sårbarheter i de informationssystem som används bör inhämtas, organisationens exponering för sådana sårbarheter granskas och lämpliga åtgärder vidtas.

förebyggande

konfidentialitet
riktighet