ISO-standarderna uppdateras för att tillgodose tekniska framsteg. ISO publicerade därför en ny version i oktober 2022 för den senaste versionen av ISO 27001 har man 18 till 36 månader på sig att övergå från de gamla versionerna från 2013 eller 2017.
När träder ISO 27001 2022 i kraft
Övergångsperiod är alltså tre år för att tillämpa den nya versionen om man blivit reviderad för 2013 versionen före oktober 2022. Det betyder att nästa gång som en organisation gör en certifieringsrevision, som är en 3-årscykel, kommer den att behöva bedömas mot 2022-versionen vid den tidpunkten. Under tiden finns den nya version av bilaga A att arbeta med nu när den nya standarden har publicerats.
Vad är nytt i ISO 27001 2022
Att vara i en organisation eller företag som hanterar känslig data så behöver man hålla sig uppdaterad med de senaste rekommendationerna och kraven för info säkerhet. Ofta kommer förändringar av bästa praxis att utvecklas med tiden. Att ha partners som kan bistå med uppdateringar och hjälpa till att förstå vad som har förändrats, vara i överensstämmelse med kraven och hålla den mest känsliga information säker. I ISO 27001 2022-versionen kan ändringarna sammanfattas med följande skillnader:
Uppdaterat innehåll i ISO-klausuler
ISO - "skallkraven" är alltid tillämpliga och måste implementeras oavsett vilken typ av organisation eller vilken typ av data som hanteras. Ändringar har också gjorts i punkterna 4 till 10, särskilt i punkterna 4.2, 6.2, 6.3 och 8.1, med tillägg av information. Terminologin uppdaterades och några meningar och satser omstrukturerades.
Nya kontroller i bilaga A
Till skillnad från ISO - "skallkraven" är kontrollerna i bilaga A mer specifika och kan tillämpas på ett mer flexibelt sätt eftersom de relaterar (eller inte gör det) till organisationens omfattning . Med denna nya version är den största förändringen en minskning av bilaga A - kontrollerna. I i 2013 års version var det 114, och nu är det 93, 2022 års version har mindre kontroller vad gäller funktionalitet eftersom onödiga och redundanta kontroller har kombinerats och/eller eliminerats.
Kontrollerna har inte tagits bort tillsammans. Snarare har 24 kontroller slagits samman, 11 nya kontroller har införts och 58 har uppdaterats. De nya kontrollerna är följande:
- Intelligenshot
- Informationssäkerhet för användning av molntjänster
- ICT-beredskap för kontinuitet i verksamheten
- Fysisk säkerhetsövervakning
- Konfigurationshantering
- Radering av information
- Datamaskering
- Förebyggande av dataläckage
- Övervakning av aktiviteter
- Webbfiltrering
- Säker kodning
Till exempel kan ett team behöva lägga mer tid på den första kontrollen under denna övergångsperiod. Kravet på "intelligenshot" skiljer sig från tidigare versioner och även andra ramverk för cybersäkerhet eftersom det kräver specifik identifiering av hot. Snarare än en allmän diskussion om hot i riskbedömningsfasen, här driver 2022-versionen informationssäkerhetsteam ett steg längre. Att införa en mogen process för att identifiera nya hot och specificera hot som måste mildras är en del av en starkare, mer proaktiv intelligenshot - process. Dessa nya ISO-kontroller bör vara i fokus för organisationers efterlevnadsinsatser under övergångsperioden. Ett team bör bekanta sig med dem, bestämma om de är tillämpliga och sedan förstå vad som behöver göras för att implementera de nya kontrollerna.
Omorganiserade kontroller i bilaga A
För att göra revision och efterlevnad enklare har den nya versionen 93 kontroller indelade i fyra kategorier, istället för de tidigare 14 klausulerna. Dessa kategorier är organiserade kring fyra olika koncept eller teman.
- Människor (8 kontroller)
- Organisatorisk (37 kontroller)
- Teknologisk (34 kontroller)
- Fysisk (14 kontroller)
Nya standarder för molntjänster
Jämfört med 2013 är användningen av molntjänster mycket mer allmänt förekommande idag. På grund av detta har ISO modifierat kontroll 5.23 för att tillämpas specifikt på molnteknik. Denna riskreducerande åtgärd är avsedd att reglera administration och användning av molntjänster som AWS, Azure och GCP. Konfidentialitet, integritet och tillgänglighet omfattas alla av denna kontroll.
Relaterad artikel: Hur man förbereder sig för en ISO 27001-revision i 10 steg .
Vad ska du göra för att förbereda dig för ISO 27001 2022
Först bör ett team granska de nya kontrollerna. Sedan måste man avgöra om de är tillämpliga med tanke på organisationens omfattning. För att fastställa tillämpligheten bör man använda samma perspektiv som användes när man ursprungligen utarbetade omfattningen för ISMS. Genom att använda den omfattningen av ISO-certifieringen inom organisationen kommer det att göra det möjligt att bedöma tillämpligheten av de nya kontrollerna. Sedan kan ett team planera nästa steg för att implementera de ändringar som behövs.
Bästa praxis för ISO-uttalanden om tillämplighet
Många anser att Statement of Applicability (SoA) är den mest betungande delen av certifieringen. Detta dokument är dock en viktig del av försäkringarna för dina revisorer och andra intresserade och ger en känsla av djupet och bredden i ditt ledningssystem för informationssäkerhet ISMS. Det används också ofta för att identifiera kontroller som du behöver av andra skäl som inkluderar kontrakt och hantering av lagstiftning som gäller för organisationen.
Med utgivningen av ISO 27001 2022 bör Statement of Applicability (SOA) hänvisa till kontrollerna i bilaga A till ISO 27001:2013. Genom att ändra formatet i delen av ISO 27001 för att betona de fyra delarna av detta krav, gör författarna det tydligare vad som krävs. Även om processen att kategorisera kan vara svår, betyder det att ha allt prydligt på plats att ha ett informationssäkerhetssystem som är lättare att implementera och som mer sannolikt håller överensstämmelsen.
Tills den nya versionen av ISO 27001 släpps måste SoA (Statement of Applicability) fortfarande hänvisa till bilaga A till ISO 27001:2013, och kontrollerna i ISO 27002:2022 kommer att vara en alternativ kontrolluppsättning som man måste jämföra med den befintliga Bilaga A.
Lägga till information till ditt tillgångsinventering
ISO 27001 behandlar information som tillgångar och det uppdaterade språket betonar vikten av att skydda dem.
Det är bara vettigt att behandla information som tillgångar och att skydda den på lämpligt sätt. Förlusten av känslig data kan vara ännu mer förödande för ditt företag än förlusten av fysiska tillgångar. Dataförlust kan leda till enorma ekonomiska förluster, ansvar och till och med irreparabel skada på ditt rykte. Vid inventering är det viktigt att bedöma hur viktig en information är, vilka risker som är förknippade med den och vem som ansvarar för att skydda den tillgången.
Anledningen till denna kategorisering är att korrekt bedöma din risk. När allt kommer omkring, om du inte korrekt har bedömt sårbarheter i samband med informationstillgångar, riskerar du att misslyckas med att skydda den informationen ordentligt. Att ta på sig en tillgångsinventering som en del av din certifiering hjälper dig att säkerställa att du har täckt alla baser.
Hur har ISO 27001 förändrats under åren?
International Organization for Standardization (ISO) utvecklar och publicerar egna, industriella och kommersiella standarder. ISO har blivit ett känt namn när det gäller säkerhetsefterlevnad för informationshanteringssystem. En sådan hanteringsstandard för informationssäkerhet är ISO 27001.
ISO 27001, som det nu kallas, har funnits sedan tidigt 90-tal under namnet ISO/IEC 17799. Detta utvecklades till ISO/IEC 27001:2005 Information Security Management System (ISMS)-specifikationen. Denna senare version innehåller policyer och procedurer, inklusive fysiska, juridiska och tekniska kontroller som hjälper företag att utföra information och riskhantering.
Den senaste stora förändringen i ISO-reglerna går tillbaka till 2017. Det var faktiskt bara några få mycket små förändringar mellan de två. En var helt enkelt ett namnbyte för att återspegla en regional uppdatering. ISO27001 antogs som standard på EU-nivå 2017 . Detta ledde till införandet av bokstäverna "EN" i "BS EN ISO/IEC 27001:2017."
Det gjordes också två mycket mindre ändringar i formuleringen avseende vissa av kontrollerna i bilaga A. Den första gäller tillgångarna. I 2013 års version uppmanas enheter att skapa en inventering av tillgångar som har att göra med information. Under 2017 benämns själva informationen specifikt som en tillgång. Som ett resultat kom det en uppmaning till specifik inventeringsinformation.
Den andra förändringen var strikt estetisk. I 2013 års version presenteras de punkter som går på Statement of Applicability som en lista. I 2017 års version presenteras de som en serie med fyra punktpunkter. De fyra punkterna på listan förblev dock oförändrade. Dom är:
- nödvändiga kontroller
- motivering för deras införande;
- huruvida de nödvändiga kontrollerna genomförs eller inte; och
- motiveringen för att utesluta någon av kontrollerna i bilaga A.
I båda fallen förefaller det som om ändringarna gjordes specifikt för att betona. De införde inga nya krav eller praxis. Snarare efterlyste de att krav som redan finns uppmärksammas närmare.
Minst en gång vart femte år ses alla ISO-standarder över. Detta är en nödvändig del av att hålla informationshanteringsstandarderna uppdaterade med det ständigt föränderliga cyberhotslandskapet. Pågående förbättringar av ramverket är viktigt för att beskriva nuvarande bästa praxis för att skydda data. Även om ISO 27001 reviderades 2013, 2017 och 2019, var ändringarna så små att 2013-versionen fortfarande är det som styr efterlevnadsteamen. På grund av detta är det säkert att hävda att ISO-reglerna behövde revideras, med tanke på de framsteg inom teknik som har skett under alla dessa år.
Relaterad artikel: Varför blir ISO ett populärt ramverk för amerikanska företag?
Vad händer när ISO 27001:2013 löper ut
Vid denna tidpunkt har organisationer fortfarande tillräckligt med tid för att säkerställa en smidig övergång till den nya standarden, under vilken intresserade organisationer bör gå ISO/IEC 27001-utbildningen och övergångsutbildningen för att bli certifierade. Efter denna övergångsperiod kommer ISO 27001-certifikaten som utfärdats under revidering 2013 att dras tillbaka och betraktas som förfallna, oavsett certifikatets angivna utgångsdatum.
Hur påverkar den nya versionen nuvarande ISO-certifieringar
ISO 27001- certifieringen har en giltighetstid på tre år och den gamla versionen av standarden kommer att vara giltig tills den löper ut. Om din organisation för närvarande är certifierad enligt ISO 27001:2013 måste du uppgradera till ISO 27001 2022 innan nästa övervaknings- eller omcertifieringsrevision du har planerat. Beroende på omfattningen av ditt ISMS kan din organisation behöva implementera nya kontroller. Dessa kontroller måste implementeras, genomdrivas via policyer och procedurer och testas innan din revision.
Även de kontroller som egentligen inte har förändrats kommer att kräva avsevärda organisatoriska förändringar eftersom säkerhetskontrollerna enligt ISO 27002 har kombinerats och omnumrerats. För att återspegla ändringarna måste du byta namn på dina gamla papper och skapa ett uppdaterat uttalande om tillämplighet.
Även om det finns en treårig övergångsperiod som tillåter certifierade organisationer att revidera sitt ledningssystem i enlighet med den nya versionen, rekommenderas det inte att din organisation dröjer med uppdateringen.
Vägledning för ISO-certifiering och riskbedömning
Är ISO 27001- certifiering rätt för din organisation, jag kan hjälpa dig att förstå fördelarna, såväl som kraven för certifiering. Kontakta mig för en konsultation.