ISO har frigivet en ny version af ISO/IEC 27001
2022-versionen af standarden for ledelsessystemer for informationssikkerhed (ISMS) gør det muligt for virksomheder at forbedre forståelsen af det aktuelle risikobillede og gennemføre de nødvendige sikkerhedskontroller.
Informationssikkerhed er et emne, der er stigende på de fleste virksomheders dagsorden. Med den øgede anvendelse af cloud- og automatiseringsteknologier, kunstig intelligens, cybersikkerhed, beskyttelse af privatlivets fred, malware og ransomware er virksomhederne tvunget til at tackle nye scenarier. Det betyder, at de skal revurdere deres nuværende risikobillede og håndtere nye trusler på en aktiv og struktureret måde.
"Den tidligere version af standarden udkom i 2013. Meget i verden har ændret sig siden da. Vi hilser den nye version velkommen, da den giver de nødvendige sikkerhedskontroller og er en vejledning, der kan hjælpe virksomhederne med at skabe tillid til, hvordan de arbejder med at beskytte forretningskritiske aktiver", siger Nanda Kumar Shamanna, global ICT-serviceansvarlig i Business Assurance, DNV.
De vigtigste ændringer i 2022-versionen
Ændringerne vedrører hovedsagelig informationssikkerhedskontrollerne i bilag A, som forventes at blive offentliggjort med ISO/IEC 27002:2022 i februar. Der er tilføjet 11 nye sikkerhedskontroller, 58 er opdateret og 24 er slået sammen for at afspejle de nye scenarier, som virksomhederne står overfor. Kontrolsproget er blevet opdateret, og vejledningen i ISO/IEC 27002 er opdateret for at hjælpe virksomhederne med at styre risici, sikre, at intet overses, og følge op på behørig vis. Ud over ændringerne i kontrollerne er ISO/IEC 27001 også blevet tilpasset de seneste opdateringer af ISO's High Level Structure (HLS). Disse ændringer betragtes dog som mindre væsentlige, da 2013-udgaven var en af de første standarder, der vedtog HLS.
De vigtigste områder af ledelsessystemet, der påvirkes, er ledelse, virksomhedssikkerhed, IT-funktion og andre støttefunktioner. For tjenesteudbydere påvirkes leveringen også.
"Den nye version muliggør en mere effektiv risikostyring takket være de opdaterede sikkerhedskontroller. Den giver virksomhederne en struktureret tilgang til at revurdere deres nuværende risikobillede og genetablere sikkerhedskontrollerne," siger Nanda Kumar Shamanna.
Overgangsfristen er fastsat til 3 år, hvilket betyder, at virksomheder med eksisterende certifikater skal overgå til den nye version inden november 2025.