Vad var det som ändrades i SS-EN ISO/IEC 27002:2022 i höstas (2024-11-11)? Kanske någon fortfarande undrar…
Sammanfattning:
- Uppdateringen är en justering av översättningen från engelska. Rättningarna är gjorda för att återspegla originaltexten på engelska. Det finns inte möjlighet att ändra betydelser i den svenska översättningen.
- Det blev hela 2000 ändringar (enligt ändringsmarkeringar i Word). Merparten små justeringar av layout, interpunktion, ordval och meningsbyggnad. En del rättningar påverkar dock betydelsen av den svenska texten.
- Ändring av en säkerhetsåtgärds namn eller beskrivning i 27002, som även påverkar 27001 bilaga A, kunde inte genomföras denna gång då detta kräver en större samordning.
- Alla kommentarer som skickats in till SIS har behandlats, och alla fel som kunde rättats har rättats! Det är meningsfullt att återkoppla!
Lista på lite större ändringar:
- Alla rubrikerna i innehållsförteckningen är klickbara och leder till rätt säkerhetsåtgärd. (konstigt fel tidigare)
- ”integritet” har genomgående ändrats till ”riktighet” eller förtydligats till ”personlig integritet” där detta avses. På ett ställe används formuleringen ”informationssystemens integritet”. Många ändringar.
- ”föreskrifter” avsåg inte författning och är ändrat till ”bestämmelser”.
- Varianter av ”klassificera” och ”klassificering” har ändrats till ”klassa” och ”klassning”.
- Alla hänvisningar till andra avsnitt i texten är nu klickbara länkar. Många ställen!
- Termposter är ändrade för att återspegla källan 27000 och 27031, exempelvis ”mål för återställningstidpunkt” och ”mål för återställningstid”.
- ”mjukvara”, nu genomgående ”programvara”.
- Omfattande översyn och rättning av alla användningen av attribut. Exempelvis har ”skydd_av_information” genomgående ändrats till ”informationsskydd” och ”reagera” är ändrat till ”hantera”. (Fråga är väl bara hur användbara attributen är egentligen…)
- Text där ordet ”ska” förekom är omformulerad. Endast tvingande krav (i 27001) får använda ”ska”.
- Begreppet ”säkerhetszon” användes i onödan, och är ändra till ”säkrat område” som används på andra ställen.
- 7.2: Syftet för ”Fysiskt tillträde” har uppdaterats för att förtydliga att det är fysisk åtkomst som avses.
- ”ledningsservrar” (Finns det någon som säger så?) är kompletterat med förklaringen ”command and control servers”.
- I rubriken til 5.9 är ”inventering” ändrat till ”förteckning”, vilket återspeglar 27001 bilaga A.
- 8.8: ”behöriga, godkända personer” är ändrade till ”kompetent och behörig personal”
- 8.13: Punkt a i vägledningen knasigt översatt. ”fullständig verksamhetsinformation avseende säkerhetskopior” är nu ändrat till ”fullständigt register över säkerhetskopior”.
- 8.27: Punkt c var svår att tyda. Ändrat ”kontroll av … information vid digital signering” till ”användning av digitala signaturer”.
Saker som inte ändrats:
- Begreppet ”ämnesspecifik policy” kvarstår. (Jag vill ändra av flera orsaker, men majoriteten i SIS/TK 318 AG11 ville behålla.)
- Viktigt att uppmärksamma: Säkerhetsåtgärd ”5.33 Skydd av verksamhetsinformation” är förvirrande på grund av en olycklig översättning i både 27001 bilaga A, och hela texten för säkerhetsåtgärden i 27002. Det är inte generell verksamhetsinformation som avses, utan snarare ”belägg för uppnådda resultat (redovisande dokument)”, jämför med 27000 termpost 3.19. Jag tycker lite synd om alla som försökt implementera 5.33 med stöd av 27002, så jag hoppas detta kan justeras snart i en samordnad uppdatering av 27001, 27002, och kanske även 27000.
Jag gick med i SIS/TK 318 främst för jag vill ha möjlighet att göra 27002 bättre. Mina tankar om framtiden handlar mycket om disposition och om att undvika redundans, men det var ändå tillfredställande att ta hand om denna uppdatering.
Har du rättningar eller förslag på framtida förbättringar av standarden: Kontakta mig, eller skicka till projektledaren för SIS/TK 318 som du hittar här https://www.sis.se/tk318!