Standarden för ledningssystem för informationssäkerhet ISO/IEC 27001 ger företag ett ramverk för att hantera risker och skydda sig mot hot för att hålla informationstillgångarna säkra, från finansiell information och immateriella rättigheter till uppgifter om anställda med mera.
Idag är informationssäkerhet en viktig fråga för nästan alla företag. Med nya scenarier förändras brådskan. Mellan ökad användning av moln- och automatiseringsteknik, cybersäkerhet, integritet, skadlig kod och utpressningstrojaner tvingas företagen att omvärdera sitt sammanhang, de viktigaste riskerna och hoten samt relevanta intressenter på ett strukturerat och tillförlitligt sätt.
Den senaste versionen släpptes 2013 och en ny version var nödvändig för att hjälpa företag att navigera i nya scenarier och se till att aktuella säkerhetskontroller finns på plats.
Den reviderade ISO/IEC 27001:2022
Den nya versionen av ISO/IEC 27001:2022 tar upp de nya scenarier som företagen måste hantera. Förändringarna finns främst i bilaga A, som föregåtts av offentliggörandet av ISO/IEC 27002, där säkerhetskontroller har lagts till, tagits bort eller slagits samman. Ändringarna omfattar även cybersäkerhet och integritetsaspekter, och kontrollspråket har uppdaterats och ytterligare vägledning har lagts till. Detta hjälper företagen att hantera risker, se till att ingenting missas och följa upp på rätt sätt.
Den senaste versionen utfärdades 2013. Det är inte förvånande att ändringarna i säkerhetskontrollen är ganska betydande: 11 nya, 58 uppdaterade och 24 sammanslagna. De förändrade scenarier som särskilt behandlas är följande:
- Införande av digital teknik som moln och automatisering;
- Den senaste tiden har sådan teknik blivit allt vanligare;
- Att känna igen cybersäkerhets- och integritetsrisker;
- återspeglar det föränderliga hotlandskapet, t.ex. nya typer av skadlig kod och utpressningstrojaner;
- Anpassning till andra bästa metoder, t.ex. NIST, COBIT osv.
- Uppdatera kontrollspråket och lägga till ytterligare vägledning.
De viktigaste områdena som påverkas av ändringarna är:
- ledarskap;
- företagsskydd;
- IT-funktion;
- andra stödfunktioner;
- Leverans (för tjänsteleverantörer).
För att uppfylla kraven måste organisationer omvärdera sina riskbedömningar och återupprätta sina säkerhetskontroller.
Förutom förändringarna i kontrollerna har 2022-utgåvan också anpassats till de senaste uppdateringarna av ISO:s High Level Structure (HLS). Dessa ändringar baseras på den senaste versionen av bilaga SL till ISO/IEC-direktiven del 1 (2022). Dessa ändringar betraktas dock som mindre, eftersom 2013-utgåvan var en av de första standarderna som antog HLS.
Tidsplan för övergången
Den nya versionen av ISO/IEC 27001 släpptes den 25 oktober 2022. Övergångstiden är satt till tre år. Nuvarande 2013-certifikat måste därför övergå till den nya versionen före 31 oktober 2025.
Övergångsrevisionen kan utföras under en planerad revision under den treåriga övergångsperioden, men kan också utföras som en särskild övergångsrevision.
Förberedelser för genomförandet
Vi rekommenderar att du börjar förbereda dig för övergången så tidigt som möjligt och planerar ordentligt för att införliva nödvändiga ändringar i ditt ledningssystem.
Rekommenderade åtgärder för övergången:
- Lär känna innehållet och kraven i den nya standarden. Fokusera på de förändringar som den reviderade standarden innebär.
- Se till att relevant personal i din organisation får utbildning och förstår kraven och de viktigaste förändringarna.
- Identifiera luckor som måste åtgärdas för att uppfylla de nya kraven och upprätta en genomförandeplan.
- Genomför åtgärder och uppdatera ditt ledningssystem för att uppfylla de nya kraven.
Hur vi kan stödja
Oavsett om du för närvarande är certifierad enligt ISO/IEC 27001 eller om du är ny i standarden kan DNV stödja din certifiering och övergång till ett ledningssystem för informationssäkerhet. Som ett världsledande certifieringsorgan arbetar vi med små och stora företag för deras behov av informationssäkerhet och sekretess över hela världen.
Om du förbereder dig för att övergå från version 2013 till version 2022 kan vi hjälpa dig med:
- Utbildning där du får information om revideringen och en grundläggande översikt över de viktigaste förändringarna och övergångsprocessen.
- Verktyg för självbedömning online och bristerbedömningar på plats eller utanför platsen för att mäta hur väl ditt ledningssystem uppfyller de nya kraven.
- Övergångsrevision för att få din certifiering att överensstämma med den nya versionen av standarden.
Vi kan stödja dig i varje steg på vägen.
Vill du för första gången certifiera dig enligt ISO/IEC 27001? Besök vår tjänstesida om ledningssystem för informationssäkerhet för att få veta mer om dess funktioner, fördelar och vägen till certifiering.