Infosäkare ska veta att alla säkerhetsåtgärder i 27002 är listade som bör-krav. (Det finns 814 ”bör” i texten som alla behöver utvärderas individuellt om de ska flippas till ”ska”.)
Förutom att det inte är så! Det finns två ska-krav! Jag vet…🤯
Hela listan:
- 11.2.3 Kablagesäkerhet: Kablage för ström och telekommunikation för data eller stödjande informationstjänster ska skyddas från avlyssning, störningar och skada.
- 15.2.2 Ändringshantering av leverantörers tjänster: Ändringar av tillhandahållande av tjänster från leverantörer, inklusive underhåll och förbättring av befintlig informationssäkerhetspolicy med tillhörande regelverk och befintliga rutiner bör hanteras, med beaktande av informationens, systemens och processernas kritiska betydelse för verksamheten och riskerna ska omvärderas.
Detta är naturligtvis irrelevant, och andra punkten är ett meningslöst bör-ska-krav, men likväl… Skoja inte bort sladdarna i din riskanalys!
(Läster man texten i ISO/IEC 27002:2017 på engelska blir det tråkigare, så gör inte det.)