Vad kontrollerar revisorn vid en certifiering enligt ISO/IEC 27001:2017?

Se tabellen nedan från SS-ISO/IEC 27006:2015,
"Krav på certifieringsorgan som reviderar ledningssystem för informationssäkerhet" (tabell D1).
Mandatory Documentation enligt ISO/IEC 27001:2017 (engelska versionen är från 2013).

 

Skillnader i ISO/IEC 27001:2017 mot ISO/IEC 27001:2014
I praktiken har mycket lite förändrats mellan ISO 27001-standarderna 2014 och 2017 med undantag för några mindre kosmetiska punkter och ett litet namnbyte. Den senaste publicerade versionen av ISMS-standarden är ISO/IEC 27001: 2017. ISO-versionen av standarden (2014 engelsk originaltext från 2013) påverkades inte av 2017-publikationen och ändringarna inför inga nya krav. För de som söker en ISO 27001-certifiering så det finns inga ändringar som påverkar certifieringsstatusen och därför införs inga ytterligare övergångsaktiviteter genom denna revision. 2017-ändringen infördes för att indikera godkännande av CEN/CENELEC för EN-beteckningen ("European Standard").

Den uppdaterade 2017 versionen innehåller två rättelser/ändringar av ISO 27001: 2014 i avsnitt 6.1.3 och Annex A punkt 8.1.

6.1.3 (Behandling av informationssäkerhetsrisker), punkt d), om tillämpningsförklaringen (SoA). Det var en kosmetisk justering som skiljer det önskade innehållet för en SoA från huvudavsnittet till separerade punkter, vilket gör det tydligare att en SoA måste innehålla minst fyra element:

  • De nödvändiga åtgärderna för att genomföra behandlingen av informationssäkerhetsrisk, inte bara de som anges i bilaga A, utan även kontroller som utformats av organisationen efter behov, liksom andra identifierade källor (t. ex. kontroller från NIST SP 800-serien av dokument)
  • Motivering för att inkludera dessa åtgärder
  • Kontrollstatusen (t.ex. implementerad eller ej)
  • Skälet till att utesluta någon av punkterna från Annex A i SoA. 

A.8.1.1 (Inventering av tillgångar) ersätter text från: "Tillgångar i samband med informations- och informationsbehandlingsresurser ska identifieras och en inventering av dessa tillgångar ska upprättas och upprätthållas" till: "Information, andra tillgångar i samband med informations- och informationsbehandlingsresurser ska identifieras och en inventering av dessa tillgångar ska upprättas och upprätthållas." Förändringen gjorde det tydligt att informationen själv också måste betraktas som en tillgång och inkluderas i inventeringen.

 

Kolumnerna - Organisation och Teknisk kontroll
Ett "X" i respektive kolumn anger om kontrollen är en organisatorisk eller en teknisk kontroll.
Eftersom vissa kontroller är både organisatoriskt och tekniskt, kan detta göras i båda kolumnerna för sådana kontroller.
Bevis på utförandet av organisatoriska kontroller kan samlas in genom  uppgifter av prestanda, intervjuer, observationer och fysiska kontroller. Bevis på utförandet av tekniska kontroller kan ofta samlas in genom systemtest (se nedan) eller genom att använda specialiserade revisionsrapporteringsverktyg.
 
Kolumn - Systemtestning
"Systemtest" betyder direkt granskning av informationssystemet (t ex granskning av systeminställningar eller konfiguration). Revisorns frågor kan besvaras på systemkonsolen eller genom utvärdering av resultaten från testverktyg. Om revisionsobjektet har ett datorbaserat verktyg som används som är känt för revisorn, kan detta användas för att stödja revisionen, eller resultatet av en utvärdering som utförts av revisionsobjektet (eller deras underleverantörer ) kan granskas.
Tabellen innehåller två kategorier för genomgång av tekniska kontroller:
"Möjligt" systemtestning är möjligt för att utvärdera införandet, men kan inte vara nödvändigt i en säkerhetsrevision;
"Rekommenderas" systemtest är vanligtvis nödvändigt i en säkerhetsrevision.
   

Kolumn - Okulär

"Okulär kontroll" innebär vanligen en visuell kontroll på platsen för att utvärdera tillämpningen. Detta innebär att det inte är tillräckligt att granska pappersdokumentationen eller endast göra intervjuer; revisorn bör kontrollera på den plats där den används.
 
Kolumn - Revisionsgenomgång
Vägledningskolumnen för revisionsgranskningen  ger möjliga fokusområden för utvärdering av kontrollen som ytterligare vägledning för revisorn.
 

ISO/IEC 27001:2017, Annex A och ISO/IEC 27002:2014:

Organisation

Teknisk

Systemtest

Okulär

Vägledning revisionsgenomgång

5.      Informationssäkerhetspolicy

 

 

 

 

 

5.1    Ledningens inriktning för informationssäkerhet

 

 

 

 

 

5.1.1 Informationssäkerhetspolicy

X

 

 

 

 

5.1.2 Granskning av regelverk för informationssäkerhet

X

 

 

 

 

6.      Organisation av informationssäkerhetsarbetet 

 

 

 

 

 

6.1    Intern organisation

 

 

 

 

 

6.1.1 Informationssäkerhetsroller och ansvar

X

 

 

 

 

6.1.2 Uppdelning av arbetsuppgifter

X

 

 

 

 

6.1.3 Kontakt med myndigheter

X

 

 

 

 

6.1.4 Kontakt med särskilda intressegrupper

X

 

 

 

 

6.1.5 Informationssäkerhet i projektledning

X

 

 

 

 

6.2    Mobila enheter och distansarbete

 

 

 

 

 

6.2.1 Regler för mobila enheter

X

X

möjlig

 

Kontroll av policytillämpning.

6.2.2 Distansarbete

X

X

möjlig

 

Kontroll av policytillämpning.

7.      Personalsäkerhet

 

 

 

 

 

7.1    Före anställning

 

 

 

 

 

7.1.1 Bakgrundskontroll

X

 

 

 

 

7.1.2 Anställningsvillkor

X

 

 

 

 

7.2    Under anställning

 

 

 

 

 

7.2.1 Ledningens ansvar

X

 

 

 

 

7.2.2 Medvetenhet, utbildning, fortbildning info säkerhet

X

 

 

 

Medarbetares medvetenhet om aspekter.

7.2.3 Disciplinär process

X

 

 

 

 

7.3    Avslut eller ändring av anställning

 

 

 

 

 

7.3.1 Avslut eller ändring av anställds ansvar

X

 

 

 

 

8.     Hantering av tillgångar

 

 

 

 

 

8.1    Ansvar för tillgångar.

 

 

 

 

 

8.1.1 Inventering av tillgångar

X

 

 

 

Identifiera tillgångar.

8.1.2 Ägarskap av tillgångar

X

 

 

 

 

8.1.3 Tillåten användning av tillgångar

X

 

 

 

 

8.1.4 Återlämnande av 8.1.4 tillgångar

X

 

 

 

 

8.2    Informationsklassning

 

 

 

 

 

8.2.1 Klassning av information

X

 

 

 

Kontroll av policytillämpning.

8.2.2 Märkning av information

X

 

 

 

Tydlig märkning av medier och mappar. 

8.2.3 Hantering av tillgångar

X

 

 

 

 

8.3    Hantering av lagringsmedia

 

 

 

 

 

8.3.1 Hantering av flyttbara lagringsmedia

X

X

möjlig

 

 

8.3.2 Avveckling av lagringsmedia

X

 

 

X

Process för avveckling.

8.3.3 Transport av fysiska lagringsmedia

X

 

 

 

Fysiskt skydd.

9.      Styrning av åtkomst

 

 

 

 

 

9.1    Verksamhetskrav för styrning av åtkomst

 

 

 

 

 

9.1.1 Regler för styrning av åtkomst

X

 

 

 

Kontrollera tillämpningen av policy 

9.1.2 Tillgång till nätverk och nätverkstjänster

X

 

 

 

Kontrollera tillämpningen av policy     

9.2    Hantering av användaråtkomst

 

 

 

 

 

9.2.1 Registrering och avregistrering av användare

X

 

 

 

 

9.2.2 Tilldelning av användaråtkomst

X

X

möjlig

 

Urval av personer som utför arbete under organisationens kontroll/auktoriserad uppdragstagare som har åtkomsträttigheter till alla systemen.

9.2.3 Hantering av privilegierade åtkomsträttigheter

X

X

möjlig

 

Intern överföring av personal.

9.2.4 Hantering av användares konfidentiella autentiseringsinformation

X

 

 

 

 

9.2.5 Granskning av användares åtkomsträttigheter

X

 

 

 

 

9.2.6 Borttagning eller justering av åtkomsträttigheter

X

 

 

 

 

9.3    Användaransvar

 

 

 

 

 

9.3.1 Användning av konfidentiell autentiseringsinformation

X

 

 

 

Verifiera att vägledning/policy finns för användare.

9.4    Styrning av åtkomst till system och tillämpningar

 

 

 

 

 

9.4.1 Begränsning av åtkomst till information

X

X

rekommenderas

 

 

9.4.2 Säkra inloggningsrutiner

X

X

rekommenderas

 

 

9.4.3 System för lösenordshantering

X

X

rekommenderas

 

 

9.4.4 Användning av privilegierade verktygsprogram

X

X

rekommenderas

 

 

9.4.5 Åtkomstkontroll till källkod för program

X

X

rekommenderas

 

 

10       Kryptering

 

 

 

 

 

10.1    Kryptografiska säkerhetsåtgärder

 

 

 

 

 

10.1.1 Regler för användning av kryptografiska säkerhetsåtgärder

X

 

 

 

Kontrollera tillämpningen av policy

10.1.2 Nyckelhantering

X

X

rekommenderas

 

Kontrollera tillämpningen av policy

11      Fysisk och miljörelaterad säkerhet

 

 

 

 

 

11.1   Säkra områden

 

 

 

 

 

11.1.1 Fysiska säkerhetsavgränsningar

X

 

 

 

 

11.1.2 Fysiska tillträdesbegränsningar

X

X

möjlig

X

Arkiviering av behörighetsdata. 

11.1.3 Säkerställande av kontor, rum och anläggningar

X

 

 

X

 

11.1.4 Skydd mot yttre och miljörelaterade hot

X

 

 

X

 

11.1.5 Arbeta i säkra utrymmen

X

 

 

X

 

11.1.6 Leverans- och lastningsområden

X

 

 

X

 

11.2   Utrustning

 

 

 

 

 

11.2.1 Placering av utrustning och skydd

X

 

 

X

 

11.2.2 Tekniska försörjningssystem

X

X

möjlig

X

 

11.2.3 Kablage säkerhet

X

 

 

X

 

11.2.4 Underhåll av utrustning

X

 

 

 

 

11.2.5 Utförsel av tillgångar

X

 

 

 

Register över tillgångar som tas från platsen.

11.2.6 Säkerhet för utrustning och tillgångar utanför organisationens lokaler

X

X

möjlig

 

Bärbara enheter och kryptering.

11.2.7 Säker kassering eller återanvändning av utrustning

X

X

möjlig

X

Diskrensning och diskkryptering.

11.2.8 Obevakad utrustning som hanteras av användare

X

 

 

 

Verifiera att vägledning/policy finns för användare

11.2.9 Regel om rent skrivbord och tom skärm

X

 

 

X

Kontrollera tillämpningen av policy

12.     Driftsäkerhet

 

 

 

 

 

12.1   Driftsrutiner och ansvar

 

 

 

 

 

12.1.1 Dokumenterade driftsrutiner

X

 

 

 

 

12.1.2 Ändringshantering

X

X

rekommenderas

 

 

12.1.3 Kapacitetshantering

X

X

möjlig

 

 

12.1.4 Separation av utvecklings-, test- och driftmiljöer

X

X

möjlig

 

 

12.2    Skydd mot skadlig kod

         
12.2.1 Säkerhetsåtgärder mot skadlig kod X X rekommenderas   Konfigurering och täckningsgrad av programvara för virusskydd. 

12.3    Säkerhetskopiering

     

 

 

12.3.1 Säkerhetskopiering av information

X  X  rekommenderas  

Granskning policy och återläsningstester. 

12.4    Loggning och övervakning

 

 

 

 

 

12.4.1 Loggning av händelser

X

X

möjlig

 

Riskbaserade val i händelselogg

12.4.2 Skydd av logginformation

X

X

möjlig

 

 

12.4.3 Administratörs- och operatörsloggar

X

X

möjlig

 

 

12.4.4 Synkronisering av tid

 

X

möjlig

 

 

12.5    Styrning av driftsystem

 

 

 

 

 

12.5.1 Installation av program på driftsystem

X

X

möjlig

 

 

12.6    Hantering av tekniska sårbarheter

 

 

 

 

 

12.6.1 Hantering av tekniska sårbarheter

X

X

rekommenderas

 

Riskbaserad patchhantering och sårbarhet i operativsystem, databaser och applikationer. 

12.6.2 Restriktioner för installation av program

X

X

möjlig

 

 

12.7    Överväganden gällande revision av informationssystem

 

 

 

 

 

12.7.1 Revisionskontroller för informationssystem

X

 

 

 

 

13       Kommunikationssäkerhet

 

 

 

 

 

13.1    Hantering av nätverkssäkerhet

 

 

 

 

 

13.1.1 Säkerhetsåtgärder för nätverk

X

X

möjlig

 

Nätverkshantering

13.1.2 Säkerhet hos nätverkstjänster

X

X

rekommenderas

 

SLAs, informationssäkerhet tillhandahållande av nätverkstjänster (VPN, nätverksrouter, anslutningskontroller och konfigurering av nätverksenheter).

13.1.3 Separation av nätverk

X

X

möjlig

 

Nätverksdiagram,nätverkssegmentering (DMZ, VLAN).

13.2    Informationsöverföring

 

 

 

 

 

13.2.1 Regler och rutiner för informationsöverföring

X

 

 

 

Kontrollera tillämpningen av policy

13.2.2 Överenskommelser om  informationsöverföring

X

 

 

 

 

13.2.3 Elektronisk meddelandehantering

X

X

möjlig

 

Bekräfta att prov från meddelandehantering följer policy och rutiner.

13.2.4 Konfidentialitet och förbindelser om konfidentialitet

X

 

 

 

Avtalskontroll

14      Anskaffning, utveckling och underhåll av system

 

 

 

 

 

14.1   Säkerhetskrav på informationssystem

 

 

 

 

 

14.1.1 Analys och specifikation av informationssäkerhetskrav

X

 

 

 

 

14.1.2 Säkerställande av programtjänster på publika nätverk

X

X

rekommenderas

 

Riskbaserad design av applikationstjänster

14.1.3 Skydd av transaktioner i tillämpningstjänster

X

X

rekommenderas

 

Konfidentialitet, integritet, oavvislighet

14.2    Säkerhet i utvecklings- och supportprocesser

 

 

 

 

 

14.2.1 Regler för säker utveckling

X

 

 

 

Kontrollera tillämpningen av policy

14.2.2 Rutiner för hantering av systemändringar

X

X

rekommenderas

 

 

14.2.3 Teknisk granskning av tillämpningar efter ändringar i driftsmiljö

X

 

 

 

 

14.2.4 Restriktioner för ändringar av programpaket

X

 

 

 

 

14.2.5 Principer för utveckling av säkra system

X

 

 

 

 

14.2.6 Säker utvecklingsmiljö

X

X

möjlig

 

 

14.2.7 Outsourcad utveckling

X

 

 

 

 

14.2.8 Säkerhetstestning

X

 

 

 

 

14.2.9 Acceptanstestning av system

X

X

möjlig

 

 

14.3   Testdata

 

 

 

 

 

14.3.1 Skydd av testdata

X

X

möjlig

X

 

15      Leverantörsrelationer

 

 

 

 

 

15.1    Informationssäkerhet i leverantörsrelationer

 

 

 

 

 

15.1.1 Informationssäkerhetsregler för leverantörsrelationer

X

 

 

 

Kontrollera tillämpningen av policy

15.1.2 Hantering av säkerhet inom leverantörsavtal

X

 

 

 

Kontrollera några avtalsvillkor

15.1.3 Försörjningskedja för informations- och kommunikationsteknologi

X

 

 

 

Kontrollera några avtalsvillkor

15.2    Hantering av leverantörers tjänsteleverans

 

 

 

 

 

15.2.1 Övervakning och granskning av leverantörstjänster

X

 

 

 

 

15.2.2 Ändringshantering av leverantörers tjänster

X

 

 

 

 

16      Hantering av informationssäkerhetsincidenter

 

 

 

 

 

16.1   Hantering av informationssäkerhetsincidenter och förbättringar

 

 

 

 

 

16.1.1 Ansvar och rutiner

X

 

 

 

 

16.1.2 Rapportering av informationssäkerhetshändelser

X

 

 

 

 

16.1.3 Rapportering av svagheter gällande informationssäkerhet

X

 

 

 

 

16.1.4 Bedömning av och beslut om informationssäkerhetshändelser

X

 

 

 

 

16.1.5 Hantering av informationssäkerhetsincidenter

X

 

 

 

 

16.1.6 Att lära av informationssäkerhetsincidenter

X

 

 

 

 

16.1.7 Insamling av bevis

X

 

 

 

 

17       Informationssäkerhetsaspekter avseende hantering av
          verksamhetens kontinuitet

 

 

 

 

 

17.1    Kontinuitet för informationssäkerhet

 

 

 

 

Protokoll från ledningens genomgång

17.1.1 Planering av kontinuitet för informationssäkerhet

X

 

 

 

 

17.1.2 Införa kontinuitet för informationssäkerhet

X

 

 

 

 

17.1.3 Styra, granska och utvärdera kontinuitet för informationssäkerhet

X

 

 

 

 

17.2    Redundans

 

 

 

 

 

17.2.1 Tillgänglighet för informationsbehandlingsresurser

X

X

möjlig

 

 

18       Efterlevnad

 

 

 

 

 

18.1    Efterlevnad av juridiska och avtalsmässiga krav

 

 

 

 

 

18.1.1 Identifiering av gällande lagstiftning och avtalsmässiga krav

X

 

rekommenderas

 

 

18.1.2 Immateriella rättigheter

X

 

 

 

 

18.1.3 Skydd av dokumenterad information

X

X

rekommenderas

 

 

18.1.4 Skydd av personlig integritet och personuppgifter

X

 

 

 

Kontrollera tillämpningen av policy

18.1.5 Reglering av kryptografiska säkerhetsåtgärder

X

 

 

 

 

18.2    Granskningar av informationssäkerhet

 

 

 

 

 

18.2.1 Oberoende granskning av informationssäkerhet

X

 

 

 

Läs rapporterna

18.2.2 Efterlevnad av säkerhetspolicy, regler och standarder

X

 

 

 

 

18.2.3 Granskning av teknisk efterlevnad

X

X