Vad kontrollerar revisorn vid en certifiering enligt ISO/IEC 27001:2017?
Se tabellen nedan från SS-ISO/IEC 27006:2015,
"Krav på certifieringsorgan som reviderar ledningssystem för informationssäkerhet" (tabell D1).
Mandatory Documentation enligt ISO/IEC 27001:2017 (engelska versionen är från 2013).
Skillnader i ISO/IEC 27001:2017 mot ISO/IEC 27001:2014
I praktiken har mycket lite förändrats mellan ISO 27001-standarderna 2014 och 2017 med undantag för några mindre kosmetiska punkter och ett litet namnbyte. Den senaste publicerade versionen av ISMS-standarden är ISO/IEC 27001: 2017. ISO-versionen av standarden (2014 engelsk originaltext från 2013) påverkades inte av 2017-publikationen och ändringarna inför inga nya krav. För de som söker en ISO 27001-certifiering så det finns inga ändringar som påverkar certifieringsstatusen och därför införs inga ytterligare övergångsaktiviteter genom denna revision. 2017-ändringen infördes för att indikera godkännande av CEN/CENELEC för EN-beteckningen ("European Standard").
Den uppdaterade 2017 versionen innehåller två rättelser/ändringar av ISO 27001: 2014 i avsnitt 6.1.3 och Annex A punkt 8.1.
6.1.3 (Behandling av informationssäkerhetsrisker), punkt d), om tillämpningsförklaringen (SoA). Det var en kosmetisk justering som skiljer det önskade innehållet för en SoA från huvudavsnittet till separerade punkter, vilket gör det tydligare att en SoA måste innehålla minst fyra element:
- De nödvändiga åtgärderna för att genomföra behandlingen av informationssäkerhetsrisk, inte bara de som anges i bilaga A, utan även kontroller som utformats av organisationen efter behov, liksom andra identifierade källor (t. ex. kontroller från NIST SP 800-serien av dokument)
- Motivering för att inkludera dessa åtgärder
- Kontrollstatusen (t.ex. implementerad eller ej)
- Skälet till att utesluta någon av punkterna från Annex A i SoA.
A.8.1.1 (Inventering av tillgångar) ersätter text från: "Tillgångar i samband med informations- och informationsbehandlingsresurser ska identifieras och en inventering av dessa tillgångar ska upprättas och upprätthållas" till: "Information, andra tillgångar i samband med informations- och informationsbehandlingsresurser ska identifieras och en inventering av dessa tillgångar ska upprättas och upprätthållas." Förändringen gjorde det tydligt att informationen själv också måste betraktas som en tillgång och inkluderas i inventeringen.
Kolumn - Okulär
|
ISO/IEC 27001:2017, Annex A och ISO/IEC 27002:2014: |
Organisation |
Teknisk |
Systemtest |
Okulär |
Vägledning revisionsgenomgång |
|
5. Informationssäkerhetspolicy |
|
|
|
|
|
|
5.1 Ledningens inriktning för informationssäkerhet |
|
|
|
|
|
|
5.1.1 Informationssäkerhetspolicy |
X |
|
|
|
|
|
5.1.2 Granskning av regelverk för informationssäkerhet |
X |
|
|
|
|
|
6. Organisation av informationssäkerhetsarbetet |
|
|
|
||
|
6.1 Intern organisation |
|
|
|
||
|
6.1.1 Informationssäkerhetsroller och ansvar |
X |
|
|
|
|
|
6.1.2 Uppdelning av arbetsuppgifter |
X |
|
|
|
|
|
6.1.3 Kontakt med myndigheter |
X |
|
|
|
|
|
6.1.4 Kontakt med särskilda intressegrupper |
X |
|
|
|
|
|
6.1.5 Informationssäkerhet i projektledning |
X |
|
|
|
|
|
6.2 Mobila enheter och distansarbete |
|
|
|
|
|
|
6.2.1 Regler för mobila enheter |
X |
X |
möjlig |
|
Kontroll av policytillämpning. |
|
6.2.2 Distansarbete |
X |
X |
möjlig |
|
Kontroll av policytillämpning. |
|
7. Personalsäkerhet |
|
|
|
|
|
|
7.1 Före anställning |
|
|
|
|
|
|
7.1.1 Bakgrundskontroll |
X |
|
|
|
|
|
7.1.2 Anställningsvillkor |
X |
|
|
|
|
|
7.2 Under anställning |
|
|
|
|
|
|
7.2.1 Ledningens ansvar |
X |
|
|
|
|
|
7.2.2 Medvetenhet, utbildning, fortbildning info säkerhet |
X |
|
|
|
Medarbetares medvetenhet om aspekter. |
|
7.2.3 Disciplinär process |
X |
|
|
|
|
|
7.3 Avslut eller ändring av anställning |
|
|
|
|
|
|
7.3.1 Avslut eller ändring av anställds ansvar |
X |
|
|
|
|
|
8. Hantering av tillgångar |
|
|
|
|
|
|
8.1 Ansvar för tillgångar. |
|
|
|
|
|
|
8.1.1 Inventering av tillgångar |
X |
|
|
|
|
|
8.1.2 Ägarskap av tillgångar |
X |
|
|
|
|
|
8.1.3 Tillåten användning av tillgångar |
X |
|
|
|
|
|
8.1.4 Återlämnande av 8.1.4 tillgångar |
X |
|
|
|
|
|
8.2 Informationsklassning |
|
|
|
|
|
|
8.2.1 Klassning av information |
X |
|
|
|
Kontroll av policytillämpning. |
|
8.2.2 Märkning av information |
X |
|
|
|
Tydlig märkning av medier och mappar. |
|
8.2.3 Hantering av tillgångar |
X |
|
|
|
|
|
8.3 Hantering av lagringsmedia |
|
|
|
|
|
|
8.3.1 Hantering av flyttbara lagringsmedia |
X |
X |
möjlig |
|
|
|
8.3.2 Avveckling av lagringsmedia |
X |
|
|
X |
Process för avveckling. |
|
8.3.3 Transport av fysiska lagringsmedia |
X |
|
|
|
Fysiskt skydd. |
|
9. Styrning av åtkomst |
|
|
|
|
|
|
9.1 Verksamhetskrav för styrning av åtkomst |
|
|
|
|
|
|
9.1.1 Regler för styrning av åtkomst |
X |
|
|
|
Kontrollera tillämpningen av policy |
|
9.1.2 Tillgång till nätverk och nätverkstjänster |
X |
|
|
|
Kontrollera tillämpningen av policy |
|
9.2 Hantering av användaråtkomst |
|
|
|
||
|
9.2.1 Registrering och avregistrering av användare |
X |
|
|
|
|
|
9.2.2 Tilldelning av användaråtkomst |
X |
X |
möjlig |
|
Urval av personer som utför arbete under organisationens kontroll/auktoriserad uppdragstagare som har åtkomsträttigheter till alla systemen. |
|
9.2.3 Hantering av privilegierade åtkomsträttigheter |
X |
X |
möjlig |
|
Intern överföring av personal. |
|
9.2.4 Hantering av användares konfidentiella autentiseringsinformation |
X |
|
|
|
|
|
9.2.5 Granskning av användares åtkomsträttigheter |
X |
|
|
|
|
|
9.2.6 Borttagning eller justering av åtkomsträttigheter |
X |
|
|
|
|
|
9.3 Användaransvar |
|
|
|
|
|
|
9.3.1 Användning av konfidentiell autentiseringsinformation |
X |
|
|
|
Verifiera att vägledning/policy finns för användare. |
|
9.4 Styrning av åtkomst till system och tillämpningar |
|
|
|
|
|
|
9.4.1 Begränsning av åtkomst till information |
X |
X |
rekommenderas |
|
|
|
9.4.2 Säkra inloggningsrutiner |
X |
X |
rekommenderas |
|
|
|
9.4.3 System för lösenordshantering |
X |
X |
rekommenderas |
|
|
|
9.4.4 Användning av privilegierade verktygsprogram |
X |
X |
rekommenderas |
|
|
|
9.4.5 Åtkomstkontroll till källkod för program |
X |
X |
rekommenderas |
|
|
|
10 Kryptering |
|
|
|
|
|
|
10.1 Kryptografiska säkerhetsåtgärder |
|
|
|
|
|
|
10.1.1 Regler för användning av kryptografiska säkerhetsåtgärder |
X |
|
|
|
Kontrollera tillämpningen av policy |
|
10.1.2 Nyckelhantering |
X |
X |
rekommenderas |
|
Kontrollera tillämpningen av policy |
|
11 Fysisk och miljörelaterad säkerhet |
|
|
|
|
|
|
11.1 Säkra områden |
|
|
|
|
|
|
11.1.1 Fysiska säkerhetsavgränsningar |
X |
|
|
|
|
|
11.1.2 Fysiska tillträdesbegränsningar |
X |
X |
möjlig |
X |
Arkiviering av behörighetsdata. |
|
11.1.3 Säkerställande av kontor, rum och anläggningar |
X |
|
|
X |
|
|
11.1.4 Skydd mot yttre och miljörelaterade hot |
X |
|
|
X |
|
|
11.1.5 Arbeta i säkra utrymmen |
X |
|
|
X |
|
|
11.1.6 Leverans- och lastningsområden |
X |
|
|
X |
|
|
11.2 Utrustning |
|
|
|
|
|
|
11.2.1 Placering av utrustning och skydd |
X |
|
|
X |
|
|
11.2.2 Tekniska försörjningssystem |
X |
X |
möjlig |
X |
|
|
11.2.3 Kablage säkerhet |
X |
|
|
X |
|
|
11.2.4 Underhåll av utrustning |
X |
|
|
|
|
|
11.2.5 Utförsel av tillgångar |
X |
|
|
|
Register över tillgångar som tas från platsen. |
|
11.2.6 Säkerhet för utrustning och tillgångar utanför organisationens lokaler |
X |
X |
möjlig |
|
Bärbara enheter och kryptering. |
|
11.2.7 Säker kassering eller återanvändning av utrustning |
X |
X |
möjlig |
X |
Diskrensning och diskkryptering. |
|
11.2.8 Obevakad utrustning som hanteras av användare |
X |
|
|
|
Verifiera att vägledning/policy finns för användare |
|
11.2.9 Regel om rent skrivbord och tom skärm |
X |
|
|
X |
Kontrollera tillämpningen av policy |
|
12. Driftsäkerhet |
|
|
|
|
|
|
12.1 Driftsrutiner och ansvar |
|
|
|
|
|
|
12.1.1 Dokumenterade driftsrutiner |
X |
|
|
|
|
|
12.1.2 Ändringshantering |
X |
X |
rekommenderas |
|
|
|
12.1.3 Kapacitetshantering |
X |
X |
möjlig |
|
|
|
12.1.4 Separation av utvecklings-, test- och driftmiljöer |
X |
X |
möjlig |
|
|
|
12.2 Skydd mot skadlig kod |
|||||
| 12.2.1 Säkerhetsåtgärder mot skadlig kod | X | X | rekommenderas | Konfigurering och täckningsgrad av programvara för virusskydd. | |
|
12.3 Säkerhetskopiering |
|
||||
|
12.3.1 Säkerhetskopiering av information |
X | X | rekommenderas |
Granskning policy och återläsningstester. |
|
|
12.4 Loggning och övervakning |
|
|
|
|
|
|
12.4.1 Loggning av händelser |
X |
X |
möjlig |
|
Riskbaserade val i händelselogg |
|
12.4.2 Skydd av logginformation |
X |
X |
möjlig |
|
|
|
12.4.3 Administratörs- och operatörsloggar |
X |
X |
möjlig |
|
|
|
12.4.4 Synkronisering av tid |
X |
möjlig |
|
|
|
|
12.5 Styrning av driftsystem |
|
|
|
|
|
|
12.5.1 Installation av program på driftsystem |
X |
X |
möjlig |
|
|
|
12.6 Hantering av tekniska sårbarheter |
|
|
|
|
|
|
12.6.1 Hantering av tekniska sårbarheter |
X |
X |
rekommenderas |
|
Riskbaserad patchhantering och sårbarhet i operativsystem, databaser och applikationer. |
|
12.6.2 Restriktioner för installation av program |
X |
X |
möjlig |
|
|
|
12.7 Överväganden gällande revision av informationssystem |
|
|
|
|
|
|
12.7.1 Revisionskontroller för informationssystem |
X |
|
|
|
|
|
13 Kommunikationssäkerhet |
|
|
|
|
|
|
13.1 Hantering av nätverkssäkerhet |
|
|
|
|
|
|
13.1.1 Säkerhetsåtgärder för nätverk |
X |
X |
möjlig |
|
Nätverkshantering |
|
13.1.2 Säkerhet hos nätverkstjänster |
X |
X |
rekommenderas |
|
SLAs, informationssäkerhet tillhandahållande av nätverkstjänster (VPN, nätverksrouter, anslutningskontroller och konfigurering av nätverksenheter). |
|
13.1.3 Separation av nätverk |
X |
X |
möjlig |
|
Nätverksdiagram,nätverkssegmentering (DMZ, VLAN). |
|
13.2 Informationsöverföring |
|
|
|
|
|
|
13.2.1 Regler och rutiner för informationsöverföring |
X |
|
|
|
Kontrollera tillämpningen av policy |
|
13.2.2 Överenskommelser om informationsöverföring |
X |
|
|
|
|
|
13.2.3 Elektronisk meddelandehantering |
X |
X |
möjlig |
|
Bekräfta att prov från meddelandehantering följer policy och rutiner. |
|
13.2.4 Konfidentialitet och förbindelser om konfidentialitet |
X |
|
|
|
Avtalskontroll |
|
14 Anskaffning, utveckling och underhåll av system |
|
|
|
|
|
|
14.1 Säkerhetskrav på informationssystem |
|
|
|
|
|
|
14.1.1 Analys och specifikation av informationssäkerhetskrav |
X |
|
|
|
|
|
14.1.2 Säkerställande av programtjänster på publika nätverk |
X |
X |
rekommenderas |
|
Riskbaserad design av applikationstjänster |
|
14.1.3 Skydd av transaktioner i tillämpningstjänster |
X |
X |
rekommenderas |
|
Konfidentialitet, integritet, oavvislighet |
|
14.2 Säkerhet i utvecklings- och supportprocesser |
|
|
|
|
|
|
14.2.1 Regler för säker utveckling |
X |
|
|
|
Kontrollera tillämpningen av policy |
|
14.2.2 Rutiner för hantering av systemändringar |
X |
X |
rekommenderas |
|
|
|
14.2.3 Teknisk granskning av tillämpningar efter ändringar i driftsmiljö |
X |
|
|
|
|
|
14.2.4 Restriktioner för ändringar av programpaket |
X |
|
|
|
|
|
14.2.5 Principer för utveckling av säkra system |
X |
|
|
|
|
|
14.2.6 Säker utvecklingsmiljö |
X |
X |
möjlig |
|
|
|
14.2.7 Outsourcad utveckling |
X |
|
|
|
|
|
14.2.8 Säkerhetstestning |
X |
|
|
|
|
|
14.2.9 Acceptanstestning av system |
X |
X |
möjlig |
|
|
|
14.3 Testdata |
|
|
|
|
|
|
14.3.1 Skydd av testdata |
X |
X |
möjlig |
X |
|
|
15 Leverantörsrelationer |
|
|
|
|
|
|
15.1 Informationssäkerhet i leverantörsrelationer |
|
|
|
|
|
|
15.1.1 Informationssäkerhetsregler för leverantörsrelationer |
X |
|
|
|
Kontrollera tillämpningen av policy |
|
15.1.2 Hantering av säkerhet inom leverantörsavtal |
X |
|
|
|
Kontrollera några avtalsvillkor |
|
15.1.3 Försörjningskedja för informations- och kommunikationsteknologi |
X |
|
|
|
Kontrollera några avtalsvillkor |
|
15.2 Hantering av leverantörers tjänsteleverans |
|
|
|
|
|
|
15.2.1 Övervakning och granskning av leverantörstjänster |
X |
|
|
|
|
|
15.2.2 Ändringshantering av leverantörers tjänster |
X |
|
|
|
|
|
16 Hantering av informationssäkerhetsincidenter |
|
|
|
|
|
|
16.1 Hantering av informationssäkerhetsincidenter och förbättringar |
|
|
|
|
|
|
16.1.1 Ansvar och rutiner |
X |
|
|
|
|
|
16.1.2 Rapportering av informationssäkerhetshändelser |
X |
|
|
|
|
|
16.1.3 Rapportering av svagheter gällande informationssäkerhet |
X |
|
|
|
|
|
16.1.4 Bedömning av och beslut om informationssäkerhetshändelser |
X |
|
|
|
|
|
16.1.5 Hantering av informationssäkerhetsincidenter |
X |
|
|
|
|
|
16.1.6 Att lära av informationssäkerhetsincidenter |
X |
|
|
|
|
|
16.1.7 Insamling av bevis |
X |
|
|
|
|
|
17 Informationssäkerhetsaspekter avseende hantering av |
|
|
|
|
|
|
17.1 Kontinuitet för informationssäkerhet |
|
|
|
Protokoll från ledningens genomgång |
|
|
17.1.1 Planering av kontinuitet för informationssäkerhet |
X |
|
|
|
|
|
17.1.2 Införa kontinuitet för informationssäkerhet |
X |
|
|
|
|
|
17.1.3 Styra, granska och utvärdera kontinuitet för informationssäkerhet |
X |
|
|
|
|
|
17.2 Redundans |
|
|
|
|
|
|
17.2.1 Tillgänglighet för informationsbehandlingsresurser |
X |
X |
möjlig |
|
|
|
18 Efterlevnad |
|
|
|
|
|
|
18.1 Efterlevnad av juridiska och avtalsmässiga krav |
|
|
|
|
|
|
18.1.1 Identifiering av gällande lagstiftning och avtalsmässiga krav |
X |
|
rekommenderas |
|
|
|
18.1.2 Immateriella rättigheter |
X |
|
|
|
|
|
18.1.3 Skydd av dokumenterad information |
X |
X |
rekommenderas |
|
|
|
18.1.4 Skydd av personlig integritet och personuppgifter |
X |
|
|
|
Kontrollera tillämpningen av policy |
|
18.1.5 Reglering av kryptografiska säkerhetsåtgärder |
X |
|
|
|
|
|
18.2 Granskningar av informationssäkerhet |
|
|
|
|
|
|
18.2.1 Oberoende granskning av informationssäkerhet |
X |
|
|
|
Läs rapporterna |
|
18.2.2 Efterlevnad av säkerhetspolicy, regler och standarder |
X |
|
|
|
|
|
18.2.3 Granskning av teknisk efterlevnad |
X |
X |
|
|
|
