Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
ISO-standardin keskiverto elinajanodote on noin viisi vuotta, kerrallaan. Kun tiimalasi on valunut loppuun, äänestetään ja päätetään jätetäänkö kyseinen ISO-standardi voimaan sellaisenaan, tarvitaanko siihen muutoksia vai peruutetaanko se kokonaan.

ISO 27002 muuttuu olennaisesti ja enemmän kuin 27001, joka ei muutu lähes lainkaan

ISO 27001:n ei varsinaisesti ennakoida muuttuvan juuri mitenkään, vaan sen uudistukset ovat lähinnä kosmeettisia. Tulevat muutokset koskettavat lähes yksinomaan ISO 27002:sta, joka sisältää tietoturvallisuuden hallintakeinojen — eli kontrollien — menettelyohjeet. Vuonna 2018 tehtiin päätös, että ISO 27002:2013 uudistetaan. Luonnos on parhaillaan käsittelyssä ja sitä odotetaan julkaistavaksi helmikuussa 2022.

Pikkujuttuja - 27001

Jos ihan tarkkoja ollaan — ja kun kerran standardin kanssa toimitaan, niin todellakin ollaan tarkkoja — ISO 27001 tulee kokemaan mm. tällaisia muutoksia:

  • Liite A tulee viittaamaan ISO/IEC 27002:2022 kontrolleihin
  • Kohdan 6.1.3 c) huomautuksen termejä on yhdenmukaistettu
  • Kohdan 6.1.3 d) sanamuotoa on tarkistettu selkeyden parantamiseksi ja epäselvyyksien poistamiseksi

Lyhyesti voidaan siis todeta, että ISO 27001 ei varsinaisesti muutu — mutta selkiytyy.

Isompia juttuja - 27002

Siinä missä ISO 27001 vain hieman selkiytyy, voidaan ISO 27002:n sanoa mullistuvan lähestulkoon vallankumouksellisesti. Muutoksia tullaan näkemään hallintakeinoissa ja niiden luokittelussa. Uudessa versiossa hallintakeinojen nettomäärä putoaa parilla kymmenellä ja ne on luokiteltu sellaisiin teemoihin kuten organisaation hallinta, ihmiset, fyysiset kontrollit ja teknologia.

Joitakin uusia hallintakeinoja on lisätty ja ne vastaavat muuttuneeseen uhkamaisemaan. Uudet hallintakeinot kattavat aiheita kuten threat intelligence, identiteetinhallinta, pilvipalvelujen tietoturva, liiketoiminnan jatkuvuus, fyysisen turvallisuuden valvonta, käyttäjien päätelaitteet, konfiguraationhallinta, tietojen turvallinen poistaminen, data masking, tietovuotojen esto, verkkoliikenteen suodatus ja tietoturvallinen ohjelmistokehitys. Kontrolleihin on uutena ominaisuutena myös liitetty hashtageja, joilla mm. voidaan muodostaa yhteys NIST Cybersecurity Frameworkin viiteen perusfunktioon (Identify, Protect, Detect, Respond, Recover) sekä ilmaista entistä paremmin, onko kyseinen hallintakeino luonteeltaan ehkäisevä, havainnoiva vai korjaava.

Joitakin kontrolleja on poistettu valikoimasta kokonaan. Tavoitteena on välttää päällekkäisyyksiä ja parantaa asemointia uusien kontrollien kanssa. Esimerkkejä poistuvista kontrolleista ovat mobiililaitteita koskeva politiikka, suojattavan omaisuuden omistajuus, salasanojen hallintajärjestelmä sekä toimitus- ja kuormausalueet.

Mitä nyt kannattaa tehdä?

ISO 27001 -standardin julkaisun jälkeen selviää, kuinka pitkä siirtymäaika 2013-versiosta myönnetään — tyypillisesti se on 12 tai 24 kuukautta. Mikäli julkaisu oikeasti tapahtuu maaliskuussa 2022, tarkoittaisi 12 kuukauden siirtymäaika sitä, että kaikissa maaliskuun 2023 jälkeen tapahtuvissa sertifiointi- tai -valvonta-auditoinneissa olisi käytettävä standardin uutta versiota.

Tätä varmaa, mutta aikataulullisesti vielä hieman avointa julkaisutapahtumaa odotellessa on hyvä esimerkiksi:

  • läpikäydä nykyiset kontrollit uuden 27002:n mukaisesti (esim. seuraavan sisäisen auditoinnin yhteydessä)
  • päivittää riskiarvioinnit ja SoA, koska riskien pienentämiseen käytettävät kontrollitkin tulevat päivittymään
  • varmistaa GRC- ja SIEM -raportointityökalujen yhteensopivuus uusien vaatimusten kanssa
  • päivittää mittarit ja metriikat vastaamaan uusia riskiarvioita ja Annex A:n muutoksia
  • päivittää sisäinen auditointiohjelma vastaamaan ISMS:aan tehtyjä muutoksia
Writing requirements

ISO 27001 – keskeiset vaatimukset

Jokainen organisaatio on tietoturvatarpeiltaan ja -kyvykkyyksiltään yksilöllinen, eikä ISO 27001 pyri tätä tosiasiaa muuttamaan. Standardi ohjaa ottamaan käyttöön asianmukaisia prosesseja ja käytäntöjä, joilla parannetaan, selkeytetään ja ylläpidetään tietoturvaa luontaisena osana jokapäiväistä toimintaa.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.