ISO 27001:2022 - certifiering eller egendeklaration

Uppdaterat innehåll i ISO-klausuler 

ISO - "skallkraven" är alltid tillämpliga och måste implementeras oavsett vilken typ av organisation eller vilken typ av data som hanteras. Ändringar har också gjorts i punkterna 4 till 10, särskilt i punkterna 4.2, 6.2, 6.3 och 8.1, med tillägg av information. Terminologin uppdaterades och några meningar och satser omstrukturerades.  

Nya kontroller i bilaga A 

Till skillnad från ISO - "skallkraven" är kontrollerna i bilaga A mer specifika och kan tillämpas på ett mer flexibelt sätt eftersom de relaterar (eller inte gör det) till organisationens omfattning . Med denna nya version är den största förändringen en minskning av bilaga A - kontrollerna. I 2013 års version var det 114, och nu är det 93, 2022 års version har mindre kontroller vad gäller funktionalitet eftersom onödiga och redundanta kontroller har kombinerats och/eller eliminerats.  

Kontrollerna har inte tagits bort tillsammans. Snarare har 24 kontroller slagits samman, 11 nya kontroller har införts och 58 har uppdaterats. De nya kontrollerna är följande:  

Till exempel kan ett team behöva lägga mer tid på den första kontrollen under denna övergångsperiod. Kravet på "intelligenshot" skiljer sig från tidigare versioner och även andra ramverk för cybersäkerhet eftersom det kräver specifik identifiering av hot. Snarare än en allmän diskussion om hot i riskbedömningsfasen, här driver 2022-versionen informationssäkerhetsteam ett steg längre. Att införa en mogen process för att identifiera nya hot och specificera hot som måste mildras är en del av en starkare, mer proaktiv intelligenshot - process. Dessa nya ISO-kontroller bör vara i fokus för organisationers efterlevnadsinsatser under övergångsperioden. Ett team bör bekanta sig med dem, bestämma om de är tillämpliga och sedan förstå vad som behöver göras för att implementera de nya kontrollerna. 

Omorganiserade kontroller i bilaga A 

För att göra revision och efterlevnad enklare har den nya versionen 93 kontroller indelade i fyra kategorier, istället för de tidigare 14 klausulerna. Dessa kategorier är organiserade kring fyra olika koncept eller teman. 

1. Människor (8 kontroller)  

2. Organisatorisk (37 kontroller)  

3. Teknologisk (34 kontroller)  

4. Fysisk (14 kontroller) 

Nya standarder för molntjänster 

Jämfört med 2013 är användningen av molntjänster mycket mer allmänt förekommande idag. På grund av detta har ISO modifierat kontroll 5.23 för att tillämpas specifikt på molnteknik. Denna riskreducerande åtgärd är avsedd att reglera administration och användning av molntjänster som AWS, Azure och GCP. Konfidentialitet, integritet och tillgänglighet omfattas alla av denna kontroll. 

Relaterad artikel: Hur man förbereder sig för en ISO 27001-revision i 10 steg . 

Vad ska du göra för att förbereda dig för ISO 27001:2022 

Först bör ett team granska de nya kontrollerna. Sedan måste man avgöra om de är tillämpliga med tanke på organisationens omfattning. För att fastställa tillämpligheten bör man använda samma perspektiv som användes när man ursprungligen utarbetade omfattningen för ISMS. Genom att använda den omfattningen av ISO-certifieringen inom organisationen kommer det att göra det möjligt att bedöma tillämpligheten av de nya kontrollerna. Sedan kan ett team planera nästa steg för att implementera de ändringar som behövs. 

Bästa praxis för ISO-uttalanden om tillämplighet   

Många anser att  Statement of Applicability  (SoA) är den mest betungande delen av certifieringen. Detta dokument är dock en viktig del av försäkringarna för dina revisorer och andra intresserade och ger en känsla av djupet och bredden i ditt ledningssystem för informationssäkerhet ISMS. Det används också ofta för att identifiera kontroller som du behöver av andra skäl som inkluderar kontrakt och hantering av lagstiftning som gäller för organisationen. Med utgivningen av ISO 27001:2022: skall Statement of Applicability (SOA) hänvisa till kontrollerna i bilaga A. .  

Lägga till information till din tillgångsinventering  

ISO 27001 behandlar information som tillgångar och det uppdaterade språket betonar vikten av att skydda dem.  

Det är bara vettigt att behandla information som tillgångar och att skydda den på lämpligt sätt. Förlusten av känslig data kan vara ännu mer förödande för din organisation än förlusten av fysiska tillgångar. Dataförlust kan leda till enorma ekonomiska förluster, ansvar och till och med irreparabel skada på ditt rykte. Vid inventering är det viktigt att bedöma hur viktig en information är, vilka risker som är förknippade med den och vem som ansvarar för att skydda den tillgången.  

Anledningen till denna kategorisering är att korrekt bedöma riskerna. När allt kommer omkring, om du inte korrekt har bedömt sårbarheter i samband med informationstillgångar, riskerar du att misslyckas med att skydda den informationen ordentligt. Att ta på sig en tillgångsinventering som en del av certifieringen hjälper dig att säkerställa att du har täckt alla parametrar. 

Hur har ISO 27001 förändrats under åren? 

International Organization for Standardization (ISO) utvecklar och publicerar egna, industriella och kommersiella standarder. ISO har blivit ett känt namn när det gäller säkerhetsefterlevnad för informationshanteringssystem. En sådan hanteringsstandard för informationssäkerhet är ISO 27001. 

ISO 27001, som det nu kallas, har funnits sedan tidigt 90-tal under namnet ISO/IEC 17799. Detta utvecklades till ISO/IEC 27001:2005 Information Security Management System (ISMS)-specifikationen. Denna senare version innehåller policyer och procedurer, inklusive fysiska, juridiska och tekniska kontroller som hjälper företag att utföra information och riskhantering.  

En förändring i ISO-reglerna går tillbaka till 2017, det var faktiskt bara några få mycket små förändringar, en var helt enkelt ett namnbyte för att återspegla en regional uppdatering. ISO27001 antogs som standard på  EU-nivå 2017 . Detta ledde till införandet av bokstäverna "EN" i "BS EN ISO/IEC 27001:2017."  

Det gjordes också två mycket mindre ändringar i formuleringen avseende vissa av kontrollerna i bilaga A. Den första gäller tillgångarna. I 2013 års version uppmanas enheter att skapa en inventering av tillgångar som har att göra med information. Under 2017 benämns själva informationen specifikt som en tillgång. Som ett resultat kom det en uppmaning till specifik inventeringsinformation.  

Den andra förändringen var strikt estetisk. I 2013 års version presenteras de punkter som går på Statement of Applicability som en lista. I 2017 års version presenteras de som en serie med fyra punktsatser. De fyra punkterna på listan förblev dock oförändrade. Dom är:  

• nödvändiga kontroller  
• motivering för deras införande;  
• huruvida de nödvändiga kontrollerna genomförs eller inte; och  
• motiveringen för att utesluta någon av kontrollerna i bilaga A.  

I dessa fall förefaller det som om ändringarna gjordes specifikt för att betona dessa delar. De införde inga nya krav eller praxis. Snarare efterlystes krav som redan fanns för att de skull uppmärksammas närmare.  

Minst en gång vart femte år ses alla ISO-standarder över. Detta är en nödvändig del av att hålla informationshanteringsstandarderna uppdaterade med det ständigt föränderliga cyberhotslandskapet. Pågående förbättringar av ramverket är viktigt för att beskriva nuvarande bästa praxis för att skydda data. Nu när ISO 27001 reviderats har framsteg inom teknik kunnat beaktats som skett under alla dessa år.  

Relaterad artikel: Varför blir ISO ett populärt ramverk för amerikanska företag? 

Vad händer när ISO 27001:2013/2017 löper ut  

Vid denna tidpunkt bör organisationer haft tillräckligt med tid för att säkerställa en smidig övergång till den nya standarden. Efter övergångsperioden kommer ISO 27001-certifikaten som utfärdats under revidering 2013/2017 att dras tillbaka och betraktas som förfallna, oavsett certifikatets angivna utgångsdatum.    

Hur påverkar den nya versionen nuvarande ISO-certifieringar  

En ISO 27001 - certifiering har en giltighetstid på tre år och den gamla versionen av standarden kommer att vara giltig tills den löper ut i oktober 2025. En organisation som är certifierad enligt ISO 27001:2013 måste uppgradera till ISO 27001 2022 innan nästa planerad omcertifieringsrevision. Beroende på omfattningen ledningssystemet kan nya kontroller behöva implementeras. Dessa kontroller måste implementeras, genomdrivas via policyer och procedurer och testas innan revision. Även de kontroller som egentligen inte har förändrats kommer att kräva avsevärda organisatoriska förändringar eftersom säkerhetskontrollerna enligt ISO 27002 har kombinerats och omnumrerats. För att återspegla ändringarna måste man byta namn på den gamla versionen och skapa ett uppdaterat uttalande om tillämplighet. Även om det finns en treårig övergångsperiod som tillåter certifierade organisationer att revidera sitt ledningssystem i enlighet med den nya versionen, rekommenderas att inte dröja med uppdateringen.