ISO-standarderna uppdateras då och då för att tillgodose tekniska framsteg. Det är därför inte förvånande att organisationer är nyfikna på vad som finns i den nya, uppdaterade versionen – ISO 27001 2022. 

Efter många år utan uppdateringar släppte ISO äntligen en ny version i oktober. Och den  senaste versionen av ISO 27001 verkar verkligen försenad för en internationell standard som täcker dagens komplexa säkerhetsutmaningar. Nu har organisationer nu 18 till 36 månader på sig att övergå från den gamla versionen.  

När träder ISO 27001 2022 i kraft?  

Det är en ganska lång övergångsperiod. Du har tre år på dig att implementera den nya versionen om du blev utvärderad för 2013 före oktober 2022. Det betyder att nästa gång din organisation återvänder för en certifieringsrevision, som är på en 3-årscykel, kommer den att behöva bedömas mot 2022-versionen vid den tidpunkten. 

Under tiden finns redan en ny version av bilaga A att arbeta med nu när den nya standarden släpps. 

Vad är nytt i ISO 27001 2022? 

Att vara i ett företag som hanterar känslig data innebär att hålla sig uppdaterad med de senaste rekommendationerna och kraven för datasäkerhet. Ofta kommer förändringar av bästa praxis att utvecklas med tiden. Att ha partners som kan hålla dig uppdaterad och hjälpa dig att förstå vad som har förändrats kan hålla dig i överensstämmelse och hålla din mest känsliga information säker. I ISO 27001 2022-versionen kan ändringarna sammanfattas med följande skillnader: 

Nytt

  • Ny bilaga A för kontroller
  • 4 kontrollteman introducerade
  • Inrätta kontroller för molntjänster
  • Mer fokus på proaktiv säkerhet
 

Uppdaterat innehåll i ISO-klausuler 

ISO-klausuler är alltid tillämpliga och måste implementeras oavsett vilken typ av organisation eller vilken typ av data som hanteras. Ändringar har också gjorts i punkterna 4 till 10, särskilt i punkterna 4.2, 6.2, 6.3 och 8.1, med tillägg av information. Terminologin uppdaterades och några meningar och satser omstrukturerades.  

Nya kontroller i bilaga A 

Till skillnad från ISO-klausuler är kontroller i bilaga A mer specifika och kan tillämpas på ett mer flexibelt sätt eftersom de relaterar (eller inte gör det) till organisationens omfattning . Med denna nya version är den största förändringen en minskning av bilaga A-kontrollerna; i 2013 års version var det 114, och nu är det nere på 93. 2022 års version har mindre kontroller vad gäller funktionalitet eftersom onödiga och redundanta kontroller har kombinerats och/eller eliminerats.  

Kontrollerna har inte tagits bort tillsammans. Snarare har 24 kontroller slagits samman, 11 nya kontroller införs och 58 har uppdaterats. De nya kontrollerna är följande:  

  • Hot intelligens  
  • Informationssäkerhet för användning av molntjänster  
  • ICT-beredskap för kontinuitet i verksamheten  
  • Fysisk säkerhetsövervakning  
  • Konfigurationshantering  
  • Radering av information  
  • Datamaskering  
  • Förebyggande av dataläckage  
  • Övervakning av aktiviteter  
  • Webbfiltrering  
  • Säker kodning 

Till exempel kan ditt team behöva lägga mer tid på den första kontrollen under denna övergångsperiod. Kravet på "hotintelligens" skiljer sig från tidigare versioner och även andra ramverk för cybersäkerhet eftersom det kräver specifik identifiering av hot. Snarare än en allmän diskussion om hot i riskbedömningsfasen, driver 2022-versionen informationssäkerhetsteam ett steg längre. Att införa en mogen process för att identifiera nya hot och specificera hot som måste mildras är en del av en starkare, mer proaktiv hotintelligensprocess. 

Dessa nya ISO-kontroller bör vara i fokus för organisationers efterlevnadsinsatser under övergångsperioden. Ditt team bör bekanta sig med dem, bestämma om de är tillämpliga och sedan förstå vad som behöver göras för att implementera de nya kontrollerna. 

Omorganiserade kontroller i bilaga A 

För att göra revision och efterlevnad enklare har den nya versionen 93 kontroller indelade i fyra kategorier, istället för de tidigare 14 klausulerna. Dessa kategorier är organiserade kring fyra olika koncept eller teman. 

  1. Människor (8 kontroller)  
  1. Organisatorisk (37 kontroller)  
  1. Teknologisk (34 kontroller)  
  1. Fysisk (14 kontroller) 

Nya standarder för molntjänster 

Jämfört med 2013 är användningen av molntjänster mycket mer allmänt förekommande idag. På grund av detta har ISO modifierat kontroll 5.23 för att tillämpas specifikt på molnteknik. Denna riskreducerande åtgärd är avsedd att reglera administration och användning av molntjänster som AWS, Azure och GCP. Konfidentialitet, integritet och tillgänglighet omfattas alla av denna kontroll. 

Relaterad artikel: Hur man förbereder sig för en ISO 27001-revision i 10 steg . 

Vad ska du göra för att förbereda dig för ISO 27001 2022? 

Först bör ditt team granska de nya kontrollerna. Sedan måste du avgöra om de är tillämpliga med tanke på din organisations omfattning. För att fastställa tillämpligheten bör du använda samma perspektiv som användes när du ursprungligen utarbetade omfattningen för ISMS. Genom att använda den omfattningen av ISO-certifieringen inom din organisation kommer det att göra det möjligt att bedöma tillämpligheten av de nya kontrollerna. Sedan kan ditt team planera nästa steg för att implementera de ändringar som behövs. 

Bästa praxis för ISO-uttalanden om tillämplighet   

Många anser att  Statement of Applicability  (SoA) är den mest betungande delen av certifieringen. Detta dokument är dock en viktig del av försäkringarna för dina revisorer och andra intresserade och ger en känsla av djupet och bredden i ditt ledningssystem för informationssäkerhet ISMS. Det används också ofta för att identifiera kontroller som du behöver av andra skäl som inkluderar kontrakt och hantering av lagstiftning som gäller för ditt företag.  

Med utgivningen av ISO 27001 2022 bör Statement of Applicability (SOA) hänvisa till kontrollerna i bilaga A till ISO 27001:2013. Genom att ändra formatet i delen av ISO 27001 för att betona de fyra delarna av detta krav, gör författarna det tydligare vad som krävs. Även om processen att katalogisera allt kan vara svår, betyder det att ha allt prydligt på plats att ha ett informationssäkerhetssystem som är lättare att implementera och som mer sannolikt håller dig i överensstämmelse.  

Tills den nya versionen av ISO 27001 släpps måste din SoA (Statement of Applicability) fortfarande hänvisa till bilaga A till ISO 27001:2013, och kontrollerna i ISO 27002:2022 kommer att vara en alternativ kontrolluppsättning som du måste jämföra med den befintliga Bilaga A.  

Lägga till information till ditt tillgångsinventering  

ISO 27001 behandlar information som tillgångar och det uppdaterade språket betonar vikten av att skydda dem.  

Det är bara vettigt att behandla information som tillgångar och att skydda den på lämpligt sätt. Förlusten av känslig data kan vara ännu mer förödande för ditt företag än förlusten av fysiska tillgångar. Dataförlust kan leda till enorma ekonomiska förluster, ansvar och till och med irreparabel skada på ditt rykte. Vid inventering är det viktigt att bedöma hur viktig en information är, vilka risker som är förknippade med den och vem som ansvarar för att skydda den tillgången.  

Anledningen till denna kategorisering är att korrekt bedöma din risk. När allt kommer omkring, om du inte korrekt har bedömt sårbarheter i samband med informationstillgångar, riskerar du att misslyckas med att skydda den informationen ordentligt. Att ta på sig en tillgångsinventering som en del av din certifiering hjälper dig att säkerställa att du har täckt alla baser. 

Hur har ISO 27001 förändrats under åren? 

International Organization for Standardization (ISO) utvecklar och publicerar egna, industriella och kommersiella standarder. ISO har blivit ett känt namn när det gäller säkerhetsefterlevnad för informationshanteringssystem. En sådan hanteringsstandard för informationssäkerhet är ISO 27001. 

ISO 27001, som det nu kallas, har funnits sedan tidigt 90-tal under namnet ISO/IEC 17799. Detta utvecklades till ISO/IEC 27001:2005 Information Security Management System (ISMS)-specifikationen. Denna senare version innehåller policyer och procedurer, inklusive fysiska, juridiska och tekniska kontroller som hjälper företag att utföra information och riskhantering.  

Den senaste stora förändringen i ISO-reglerna går tillbaka till 2017. Det var faktiskt bara några få mycket små förändringar mellan de två. En var helt enkelt ett namnbyte för att återspegla en regional uppdatering. ISO27001 antogs som standard på  EU-nivå 2017 . Detta ledde till införandet av bokstäverna "EN" i "BS EN ISO/IEC 27001:2017."  

Det gjordes också två mycket mindre ändringar i formuleringen avseende vissa av kontrollerna i bilaga A. Den första gäller tillgångarna. I 2013 års version uppmanas enheter att skapa en inventering av tillgångar som har att göra med information. Under 2017 benämns själva informationen specifikt som en tillgång. Som ett resultat kom det en uppmaning till specifik inventeringsinformation.  

Den andra förändringen var strikt estetisk. I 2013 års version presenteras de punkter som går på Statement of Applicability som en lista. I 2017 års version presenteras de som en serie med fyra punktpunkter. De fyra punkterna på listan förblev dock oförändrade. Dom är:  

  • nödvändiga kontroller  
  • motivering för deras införande;  
  • huruvida de nödvändiga kontrollerna genomförs eller inte; och  
  • motiveringen för att utesluta någon av kontrollerna i bilaga A.  

I båda fallen förefaller det som om ändringarna gjordes specifikt för att betona. De införde inga nya krav eller praxis. Snarare efterlyste de att krav som redan finns uppmärksammas närmare.  

Minst en gång vart femte år ses alla ISO-standarder över. Detta är en nödvändig del av att hålla informationshanteringsstandarderna uppdaterade med det ständigt föränderliga cyberhotslandskapet. Pågående förbättringar av ramverket är viktigt för att beskriva nuvarande bästa praxis för att skydda data. Även om ISO 27001 reviderades 2013, 2017 och 2019, var ändringarna så små att 2013-versionen fortfarande är det som styr efterlevnadsteamen. På grund av detta är det säkert att hävda att ISO-reglerna behövde revideras, med tanke på de framsteg inom teknik som har skett under alla dessa år.  

Relaterad artikel: Varför blir ISO ett populärt ramverk för amerikanska företag? 

Vad händer när ISO 27001 2013 löper ut?  

Vid denna tidpunkt har organisationer fortfarande tillräckligt med tid för att säkerställa en smidig övergång till den nya standarden, under vilken intresserade organisationer bör gå ISO/IEC 27001-utbildningen och övergångsutbildningen för att bli certifierade. Efter denna övergångsperiod kommer ISO 27001-certifikaten som utfärdats under revidering 2013 att dras tillbaka och betraktas som förfallna, oavsett certifikatets angivna utgångsdatum.    

Hur påverkar den nya versionen nuvarande ISO-certifieringar?  

ISO 27001-  certifieringen har en giltighetstid på tre år och den gamla versionen av standarden kommer att vara giltig tills den löper ut. Om din organisation för närvarande är certifierad enligt ISO 27001:2013 måste du uppgradera till ISO 27001 2022 innan nästa övervaknings- eller omcertifieringsrevision du har planerat. Beroende på omfattningen av ditt ISMS kan din organisation behöva implementera nya kontroller. Dessa kontroller måste implementeras, genomdrivas via policyer och procedurer och testas innan din revision. 

Även de kontroller som egentligen inte har förändrats kommer att kräva avsevärda organisatoriska förändringar eftersom säkerhetskontrollerna enligt ISO 27002 har kombinerats och omnumrerats. För att återspegla ändringarna måste du byta namn på dina gamla papper och skapa ett uppdaterat uttalande om tillämplighet.  

Även om det finns en treårig övergångsperiod som tillåter certifierade organisationer att revidera sitt ledningssystem i enlighet med den nya versionen, rekommenderas det inte att din organisation dröjer med uppdateringen.  

Vägledning för ISO-certifiering och riskbedömning – utan ångest  

Är ISO 27001- certifiering rätt för din organisation, jag kan hjälpa dig att förstå fördelarna, såväl som kraven för certifiering. Kontakta mig för en konsultation.