Uppdatering av kravkatalogen enligt ISO/IEC 27002:2022 samt lagrumskraven

Vi är glada att meddela att den efterlängtade uppdateringen av vår kravkatalog enligt ISO/IEC 27002:2022 tillsammans med en förbättring av lagrumskraven nu är komplett och planeras att implementeras den 17/4

Vad ingår i den nya uppdateringen?

  • Förtydligande och exemplifiering av alla krav: Alla krav har genomgått en förtydligande process för att underlätta förståelsen och tillämpningen.

  • Inkludering av uppdaterade ISO/IEC 27001 normativa krav: Samtliga normativa krav har uppdaterats och grupperats enligt den senaste versionen av standarden. Detta inkluderar bland annat krav inom personalsäkerhet.

  • Uppdatering av lagrumsdelarna: Uppdateringar och omskrivningar av kraven i självvärderingen avseende

    • Dataskyddsförordningen

    • Patientdatalagen

    • NIS-lagen (ny funktionalitet i klassningssteget för att specificera sektor)

  • Revidering av alla upphandlingskrav:  Numera är upphandlingskraven i form av en upphandlingschecklista – Syftet med checklistan är att utgöra ett stöd för att hjälpa er identifiera potentiella brister i ert upphandlingsunderlag kopplat till NIS samt att dataskyddet beaktats i tillräcklig utsträckning när ni upphandlar exempelvis it-system som ska behandla personuppgifter å era vägnar.

  • Ny hjälpknapp med ytterligare information: En ny hjälpknapp har lagts till för att ge extra stöd och information från 27002 för att tolka kraven.

Vad har förändrats?

Exkludering av Arkivlagen (1990:782) och OSL (Offentlighets- och sekretesslag) (2009:400): Båda lagarna har tagits bort från KLASSA. Det har beslutats att ta bort de krav som funnits avseende offentlighets- och sekretesslagen samt arkivlagen, då lagstiftningarna är svåra att förena med den nu implementerade metodiken av KLASSA.

Det totala antalet säkerhetsåtgärder har blivit färre – 93 mot de tidigare 114: Tidigare har kraven inkluderat säkerhetsåtgärder i 14 olika avsnitt, till exempel avsnittet för säkerhet vid personalhantering och avsnittet för åtkomsthantering. Den nya strukturen är fördelat på fyra huvudteman; organisatoriska säkerhetsåtgärder, personrelaterade säkerhetsåtgärder, administrativa säkerhetsåtgärder och tekniska säkerhetsåtgärder

  • 11 säkerhetsåtgärder är nya.

  • 24 säkerhetsåtgärder har slagits samman.

  • 58 säkerhetsåtgärder har uppdaterats.

 

Vad händer med gamla kravmallar och handlingsplaner?

Gamla kravmallar: De gamla kravmallarna kommer att finnas kvar men kan inte användas i handlingsplaner som baseras på en ny klassning. Dock kommer de att fortsätta att vara tillgängliga för befintliga handlingsplaner. Som ett förtydligande kommer ingenting att raderas.

Gamla handlingsplaner och klassningar: Dessa kommer att markeras med en rödmarkering för att indikera att de baseras på äldre kravmodeller. Alla nya klassningar kommer att utgå ifrån nya kravkatalogen. Som ett förtydligande är det möjligt att jobba vidare med befintliga handlingsplaner som vanligt men så fort en ny klassning genomförs så sker det i enlighet med den nya kravkatalogen.

 En bild som visar text, skärmbild, Teckensnitt, linje

 

Nya kravmallar

Ni kommer att behöva skapa nya kravmallar som baseras på den nya kravkatalogen om verksamheten fortsatt ska få stöd i sitt klassningsarbete. Detta då alla nya klassningar kommer att baseras på nya kravkatalogen och därmed behöver en ny kravmall skapas.

Vi hoppas att den här informationen och uppdateringen kommer att vara till stor hjälp för er i ert fortsatta arbete. Om ni har några ytterligare frågor eller funderingar, är ni välkomna att kontakta oss på klassa@skr.se.

  • Senast ändrad: 2024-04-18 15:22