ISO/IEC 27001-standarden for ledelsessystemer for informationssikkerhed giver virksomheder en ramme til at styre risici og beskytte mod trusler for at sikre informationsaktiver, lige fra finansielle oplysninger og intellektuel ejendom til medarbejderoplysninger og meget mere.
Informationssikkerhed er i dag et emne, der står højt på dagsordenen i næsten alle virksomheder. Med de nye scenarier understreges det presserende behov. Alene på grund af den øgede anvendelse af cloud- og automatiseringsteknologier, cybersikkerhed, beskyttelse af privatlivets fred, malware og ransomware er virksomhederne tvunget til at revurdere deres kontekst, de største risici og trusler og relevante interessenter på en struktureret og pålidelig måde.
Da den sidste version blev udgivet i 2013, er det nu nødvendigt med en ny version for at hjælpe virksomheder med at navigere i nye scenarier og sikre, at de aktuelle sikkerhedskontroller er på plads.
Den reviderede ISO/IEC 27001:2022
Den nye version af ISO/IEC 27001:2022 tager fat på de nye scenarier, som virksomhederne skal håndtere. Ændringerne er hovedsageligt i bilag A, som er foregrebet af offentliggørelsen af ISO/IEC 27002, hvor sikkerhedskontroller er blevet tilføjet, slettet eller slået sammen. Ændringerne omfatter også aspekter vedrørende cybersikkerhed og privatlivets fred, og kontrolsproget er blevet opdateret, og der er tilføjet yderligere vejledning. Dette hjælper virksomhederne med at styre risici, sikre, at der ikke overses noget, og at der foretages behørig opfølgning.
Den seneste udgave blev udsendt i 2013. Det er ikke overraskende, at ændringerne i sikkerhedskontrollen er ret betydelige med 11 nye, 58 opdaterede og 24 sammenlagte. De ændrede scenarier, der især behandles, er følgende:
- Indførelse af digitale teknologier som cloud og automatisering;
- Den seneste, øgede anvendelse af sådanne teknologier;
- Anerkendelse af risici for cybersikkerhed og beskyttelse af privatlivets fred;
- Med baggrund i det skiftende trusselslandskab, f.eks. nye typer malware og ransomware;
- Tilpasning til andre bedste praksis, f.eks. NIST, COBIT osv.
- Opfriskning af kontrolsproget og tilføjelse af yderligere vejledning.
De vigtigste områder, der berøres af ændringerne, er:
- ledelse;
- virksomhedens sikkerhed;
- IT-funktion;
- andre støttefunktioner;
- levering (for tjenesteydere).
For at overholde reglerne skal organisationer revurdere deres risikovurderinger og genetablere deres sikkerhedskontrol.
Ud over ændringerne i kontrolelementerne er 2022-udgaven også tilpasset til de seneste opdateringer af ISO's High Level Structure (HLS). Disse ændringer er baseret på den seneste version af bilag SL i ISO/IEC-direktiverne, del 1 (2022). Disse ændringer betragtes dog som mindre væsentlige, da 2013-udgaven var en af de første standarder, der vedtog HLS.
Tidsplan for konvertering
Den nye version af ISO/IEC 27001 blev offentliggjort den 25. oktober 2022. Konverteringsfristen er sat til at være 3 år. De nuværende 2013-certifikater skal derfor konverteres til den nye version inden d. 31. oktober 2025.
Konverteringsaudit kan gennemføres i forbindelse med enhver planlagt audit i den treårige overgangsperiode, men kan også gennemføres som en særlig konverteringsaudit.
Forberedelse af konverteringsaudit
Vi anbefaler, at du begynder at forberede dig på overgangen til den nye version af standarden så tidligt som muligt og planlægger ordentligt for at indarbejde de nødvendige ændringer i dit ledelsessystem.
Anbefalede trin for overgangen til den nye version af standarden:
- Få kendskab til indholdet og kravene i den nye standard. Fokuser på de ændringer, som den reviderede standard indebærer.
- Sørg for, at relevant personale i din organisation er uddannet og forstår kravene og de vigtigste ændringer.
- Identificer de mangler, der skal afhjælpes for at opfylde de nye krav, og udarbejd en gennemførelsesplan.
- Gennemfør foranstaltninger og opdater dit ledelsessystem for at opfylde de nye krav.
Hvordan vi kan støtte
Uanset om du allerede er certificeret i henhold til ISO/IEC 27001 eller er ny i forhold til standarden, kan DNV støtte din certificering af ledelsessystemet for informationssikkerhed og konverteringen til den nye standard. Som et af verdens førende certificeringsorganer arbejder vi med små og store virksomheder i forbindelse med deres behov for informationssikkerhed og beskyttelse af privatlivets fred i hele verden.
Hvis du er ved at gøre dig klar til at skifte fra version 2013 til version 2022, kan vi hjælpe dig med:
- Uddannelse, hvor du lærer om den nye udgave af standarden og får et grundlæggende overblik over de vigtigste ændringer og konverteringsprocessen.
- Online værktøjer til selvevaluering og vurdering af mangler på on site og i det dokumenterede ledelsessystem for at måle, hvor godt dit ledelsessystem opfylder de nye krav.
- Konverteringsaudit for at bringe din certificering i overensstemmelse med den nye version af standarden.
Vi kan støtte dig hele vejen igennem processen.
Er du på udkig efter certificering til ISO/IEC 27001 for første gang? Besøg vores hjemmeside om ledelsessystemer for informationssikkerhed for at få mere at vide om dets funktioner, fordele og vejen til certificering.