Informationssäkerhet är idag en grundförutsättning för att kunna bedriva verksamhet, skapa förtroende hos kunder och skydda data mot allt mer avancerade hot. En av de mest använda internationella standarderna för att strukturera och styra säkerhetsarbetet är ISO/IEC 27002.
Vad är ISO/IEC 27002?
ISO/IEC 27002 är en internationell standard som fungerar som en riktlinje för informationssäkerhetskontroller. Medan ISO/IEC 27001 anger kraven för ett ledningssystem för informationssäkerhet (ISMS), ger ISO/IEC 27002 mer detaljerade rekommendationer för hur organisationer kan implementera de säkerhetsåtgärder som ISO/IEC 27001 hänvisar till.
Kortfattat:
-
ISO 27001 = krav (”vad” man ska göra)
-
ISO 27002 = vägledning (”hur” man kan göra det)
Vad är ISO/IEC 27002?
ISO/IEC 27002 är en internationell standard för informationssäkerhet som fungerar som en praktisk guide till hur säkerhetskontroller kan införas och förvaltas. Den kompletterar ISO/IEC 27001, som anger de formella kraven på ett ledningssystem för informationssäkerhet (ISMS). Skillnaden är att 27001 beskriver vad som ska uppnås, medan 27002 förklarar hur kontrollerna kan implementeras i praktiken.
Standarden används globalt av företag, myndigheter och organisationer som vill skydda känslig information, uppfylla regulatoriska krav och bygga förtroende hos kunder och samarbetspartners.
Struktur och innehåll i den senaste versionen
Den senaste versionen av ISO/IEC 27002 publicerades 2022 och innebär en tydlig modernisering. Tidigare bestod standarden av 114 kontroller uppdelade på 14 områden. Nu har de reducerats till 93 kontroller och organiserats i fyra huvudkategorier: organisatoriska, mänskliga, fysiska och teknologiska kontroller. Genom att gruppera kontrollerna på detta sätt blir det lättare för organisationer att anpassa säkerhetsarbetet till sin egen riskprofil och verksamhetens behov.
Exempel på centrala kontrollområden
ISO/IEC 27002 täcker en bred uppsättning av säkerhetsåtgärder. Några av de mest centrala områdena är:
- Åtkomststyrning – hur användare får behörigheter och hur dessa hanteras över tid.
- Incidenthantering – rutiner för att upptäcka, rapportera och hantera säkerhetsincidenter.
- Kryptering – skydd av känslig information både vid lagring och överföring.
- Leverantörsstyrning – säkerhetskrav på externa parter och molntjänster.
- Utbildning och medvetenhet – att personalen förstår riskerna och vet hur de ska agera.
Fördelar för organisationer
Att använda ISO/IEC 27002 ger flera fördelar. Standarden fungerar som en praktisk verktygslåda och bidrar till en mer robust säkerhetskultur. Organisationer som följer den blir bättre rustade mot cyberattacker, stärker förtroendet hos kunder och myndigheter och underlättar efterlevnaden av lagar som GDPR. Dessutom blir det enklare att förbereda sig för certifiering enligt ISO/IEC 27001, eftersom 27002 tydligt förklarar hur kontrollerna kan införas i praktiken.
Slutsats
ISO/IEC 27002 är mer än en teknisk standard – den är ett ramverk för att skapa ordning, struktur och tydliga rutiner inom informationssäkerhet. Genom att kombinera vägledningen i 27002 med kraven i 27001 kan organisationer bygga ett heltäckande skydd som möter både dagens och morgondagens säkerhetsutmaningar.
