ISO 27001 -standardi päivittyi 2022-versioon - mikä muuttui?

Ensimmäistä kertaa yhdeksään vuoteen ISO 27001, maailman johtava tietoturvastandardi, on päivitetty. Standardin lopullinen päivitys tuli 25.10.2022, vaikka ISO 27002 -standardin lista hallintakeinoista oli päivitetty jo aiemmin.

Tämä päivitys ei tuo mukanaan erityisen suuria muutoksia standardin logiikkaan, mutta on tärkeää ymmärtää tapahtuneet muutokset tarkasti. Mikä on siis muuttunut verrattaessa vuoden 2013 ja 2022 versioita ja miten nämä päivitykset näkyvät Digiturvamallissa?

Yhteenveto ISO 27001:n 2022 päivityksestä

Standardin pääsisältöön, eli kohtiin 4 - 10 ISO 27001 -standardissa, ei tullut merkittäviä muutoksia.

Sen sijaan ISO 27002:n tietoturvallisuuden hallintakeinot (tai liite A, jos pidät tästä nimityksestä) saivat kohtalaisia muutoksia:

• 11 täysin uutta hallintakeinoa tuotu mukaan
• Yhtään hallintakeinoa ei poistettu, mutta useita yhdistettiin
• Hallintakeinojen yhdistämisten takia kokonaismäärä tippui 114 -> 93, vaikka kokonaisuudessaan hallintakeinolistaus saikin päivityksessä lisää sisältöä
• Hallintakeinot on jaoteltu 4 eri kategoriaan, aiemman 14 sijasta

Uudet hallintakeinot ISO 27001/27002:2022

11 uutta hallintkeinoa ISO 27002 ovat:

• 5.7 Threat intelligence: Organisaatiolla on oltava selkeät prosessit, joilla tietoturvauhkia koskevaa tietoa kerätään ja analysoidaan.
• 5.23 Information security for use of cloud services: Organisaatiolla tulee olla selkeät ylätason periaatteet pilvipalvelujen käyttöön ja niihin liittyvien riskien hallintaan sekä kriteerit mm. turvallisten palveluntarjoajien valintaan, toimintojen tai pilvipalveluntarjoajien seurantaan ja sopimusten käyttämiseen riittävien turvatoimien vaatimiseksi kumppaneilta.
• 5.30 ICT readiness for business continuity: Keskeisten ICT-palvelujen jatkuvuusvaatimukset on yksilöitävä selkeästi ja johdettava organisaation muista keskeisistä jatkuvuussuunnitelmista.
• 7.4 Physical security monitoring: Organisaation on määriteltävä selkeästi, millaisia valvontajärjestelmiä sen fyysisissä tiloissa käytetään, ja varmistettava kriittisten järjestelmien tilojen riittävä valvonta.
• 8.9 Configuration management: Tietojärjestelmien, verkkojen ja muiden laitteiden turvalliselle konfiguroinneille tulee käyttää vakiomalleja, ja oikeiden konfiguraatioiden valvomiseksi on oltava olemassa prosesseja.
• 8.10 Information deletion: Tietojärjestelmiin, laitteisiin tai muihin tallennusvälineisiin tallennetut tiedot tulee poistaa, kun niitä ei enää tarvita.
• 8.11 Data masking: Tarpeet piilottaa joitakin arkaluonteisia tietoja (esim. peittämällä, pseudonyymisoimalla tai anonymisoimalla) tulee tunnistaa ja toteuttaa tarvittaessa.
• 8.12 Data leakage prevention: Tietojärjestelmissä, verkoissa ja muissa laitteissa, jotka käsittelevät, tallentavat tai siirtävät arkaluontoista tietoa, on käytettävä tietovuotoja ehkäiseviä toimenpiteitä.
• 8.16 Monitoring activities: Organisaation on määriteltävä selkeät prosessit verkkojen ja tietojärjestelmien tarkkailemiseksi epänormaalin käyttäytymisen varalta ja tarvittaessa prosessin jatkamiseksi tietoturvahäiriöiden hallintaan.
• 8.23 Web filtering: Organisaation tulee tunnistaa verkkosivustotyypit, joille henkilökunnalla pitäisi olla pääsy ja joille taas ei pitäisi olla tarvetta. Pääsyä tarpeettomille, ulkoisille verkkosivustoille tulisi hallita haittaohjelmille altistumisen vähentämiseksi.
• 8.28 Secure coding: Organisaatiolla on oltava selkeät säännöt turvalliselle koodaukselle (esim. "minimum security criteria"), jotka varmistavat, että ohjelmistot on kirjoitettu ja testattu oikein ja vähentävät luotujen palvelujen teknisten haavoittuvuuksien mahdollisuutta.

Tämän lisäksi monia hallintakeinoja yhdistettiin tässä päivityksessä. Tämä tarkoittaa, että entistä useammat kontrollit alkavat olla kooltaan melko merkittäviä ja vaativat huolella suunniteltua ja ositettua toteutusta.

Muihin hallintakeinoihin tehtiin seuraavat muutokset:

• 57 hallintakeinoa yhdistettiin
• 23 hallintakeinoa nimettiin uudelleen
• 1 hallintakeino jaettiin useammaksi

Me Digiturvamallilla olemme iloisia tästä kehityksestä. Olemme jo aiemmin nähneet, että monet hallintakeinot "paisuvat" ja samalla esimerkiksi 50% hallintakeinon sisällöstä saattaa olla jaettua muiden vastaavien vaatimuskehikkojen kanssa. Tätä kehitystä varten olemme rakentaneet standardien hallintakeinojen ja organisaation hallintajärjestelmän väliin yleisen "tehtävätason" - ISO-standardin hallintakeinot jalkautetaan tehtävinä, joilla on mm. selkeät omistajat ja todistetiedot. Tehtävät kertovat yksityiskohtaisemman kuvauksen kunkin hallintakeinon toteuttamisesta ja samalla linkittyvät suoraan myös muihin relevantteihin vaatimuskehikkoihin.

Uusi hallintakeinojen luokittelu ISO 27001/27002:2022-standardissa

Uuden version hallintakeinot on jaettu 4 osaan. Hallintakeinot  on luokiteltu seuraavasti:

• Ihmislähtöinen hallintakeino, mikäli toteutus liittyy yksittäisiin henkilöihin
• Fyysinen hallintakeino, mikäli toteutus liittyy fyysisiin laitteisiin / toimitiloihin
• Teknologinen hallintakeino, mikäli toteutus liittyy teknologiaan
• ja muuten Hallinnollinen (organisational) hallintakeino

Tämä jaottelu tuo hienosti esiin ne erilaiset lähestymistavat, joita organisaatiot yleensä voivat käyttää kaikenlaisten tietoturvauhkien torjuntaan – hallinnolliset, ihmislähtöiset, teknologiset ja fyysiset toimet voivat olla merkityksellisiä ja yleensä yhdistelmä tuottaa parhaat tulokset. Näin standardi varmistaa, että organisaatiot eivät esimerkiksi tarkastele ainoastaan teknisiä tapoja tietojen suojaamisen parantamiseen.

Näiden neljän pääkategorian lisäksi uusi standardi tarjoaa paljon lisäluokitteluja hallintakeinoille. Näitä luokitteluja voi käyttää apuna omassa ISMS-toteutuksessa, mikäli napakka neljän kategorian jaottelu ei miellytä.

Hallintakeinot on lisäksi luokiteltu seuraavien tekijöiden mukaan:

• ‍Hallintakeinon tyyppi - estävistä, havaitseviin ja korjaaviin hallintakeinoihin
• Hallintakeinon tietoturvapiirteet - liittyykö hallintakeino pääsin tietojen luottamuksellisuuden, eheyden vai saatavuuden varmistamiseen
• Tietoturvakonseptit - Tunnista, Suojaa, Havaitse, Vastaa tai Palaudu (viitaten mm. NIST CSF -kehikkoon)
• Toteutustyyyppi - tässä otetaan toteuttajan näkökulma, mukana ovat mm. Suojattavan omaisuuden hallinta, Henkilöstöturvallisuus, Fyysinen turvallisuus, Järjestelmä- ja verkkoturvallisuus sekä Teknisten haavoittuvuuksien hallinta

Viimeinen jaottelu on melko lähellä aiempia 14 kategoriaa, jotka toimivat pääjakona vuoden 2013 standardiversiossa.  

Nämä luokittelut luovat myös paremman yhteensopivuuden ISO 27001 -standardista muihin suosittuihin tietoturvastandardeihin, kuten NIST CSF, CIS 18 tai CSA CCM.

ISO 27001/27002:2022 -vaatimuskehikon toteutus Digiturvamallissa

Olemme juuri julkaisseet ISO 27001:2022 vaatimuskehikon Digiturvamallissa. Voit aktivoida uuden kehikon normaalisti Digiturvamallin vaatimuskehikkokirjastosta.

Sisältöjen päällekkäisyys 2013 -> 2022 versioon siirryttäessä on yli 90%. Tämä tarkoittaa, että yli 90% tehtävistä joiden kanssa olet työskennellyt vanhan version parissa ovat edelleen mukana uudessa vaatimuskehikossa - ne on vaan linkitetty uudelleen oikeisiin kohtiin. Niiden toteuttamisesta siis hyödyt automaattisesti ja vaatimuksenmukaisuus uutta kehikkoa kohden nousee. Siirryttäessä vanhasta uuteen voit siis keskittyä toteuttamaan vain uuden sisällön, eli n. 9% uudesta vaatimuskehikosta. 👍

Uusi ISO 27001:2022 vaatimuskehikko on jaoteltu 3 eri tasoon samaan tapaan kuin 2013-versio:

• ISO 27001:2022 Startti: 20% poiminto ISO 27001 -standardista. Ilman näitä ydinasioita on vaikeaa luvata asiakkaille heidän tietojensa olevan turvassa.
• ISO 27001:2022 Syvennä: 50% poiminto ISO 27001 -standardista. Sisältää edistyneitä hallintakeinoja tietoturvan parantamiseen, muttei etene sertifiointitasoon asti.
• ISO 27001:2022 Täysi: Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä vaatimukset uskottavalle tietoturvan johtamiselle sisältäen mm. johdon, auditoinnin sekä riskienhallinnan näkökulmat.

Päädyimme hyödyntämään vaatimustenmukaisuuden raportilla / soveltuvuuslausunnossa sekä standardin 5-8 pääluokkia että jaottelua toteutustyypin mukaan, joka on monille käyttäjille tuttu myös aiemmasta versiosta.

Nyt tämä compliance-raportti sisältää myös ISO 27001 -standardin kohdat 4-10, joten se toimii "turboahdettuna soveltuvuuslausuntona", osoittaen kuinka eri hallintakeinot on jalkautettu ja kuinka pakolliset tietoturvan johtamiseen liittyvät vaatimukset täytetään.

Parhaiten näet kaiken tämä käytännössä, kun testaat itse uutta ISO 27001:2022 vaatimuskehikkoa Digiturvamallissa. Mikäli sinulla ei vielä ole tiliä, aloita tästä ilmainen kokeilu.

Usein kysyttyä

Q: Olemme työskennelleet Digiturvamallissa vuoden 2013 version kanssa. Hyödynkö vanhan version parissa tehdystä työstä hypätessäni uuteen?

Todellakin! Sisältöjen päällekkäisyys 2013 -> 2022 versioon siirryttäessä on yli 90%. Tämä tarkoittaa, että yli 90% tehtävistä joiden kanssa olet työskennellyt vanhan version parissa ovat edelleen mukana uudessa vaatimuskehikossa - ne on vaan linkitetty uudelleen oikeisiin kohtiin. Niiden toteuttamisesta siis hyödyt automaattisesti ja vaatimuksenmukaisuus uutta kehikkoa kohden nousee. Siirryttäessä vanhasta uuteen voit siis keskittyä toteuttamaan vain uuden sisällön, eli n. 9% uudesta vaatimuskehikosta. 👍

Q: Olemme jo ottaneet käyttöön ISO 27001:n. Kuinka nopeasti meidän on reagoitava tähän päivitykseen?

Vuoden 2013 versiota vasten sertifioitujen organisaatioiden on siirryttävä vuoden 2022 versioon ennen 31.10.2025. Tämä tarkoittaa, että käytössä on peräti 36 kuukauden siirtymäkausi.

Q: Pysyykö vanha versio standardista saatavilla Digiturvamallissa?

Kyllä. Koko siirtymäkauden ajan sekä vuoden 2013 että 2022 versiot ISO 27001:stä ovat saatavilla vaatimuskehikkokirjastossamme.