ISO släpper en ny version av ISO/IEC 27001

2022 års version av standarden för ledningssystem för informationssäkerhet (ISMS) gör det möjligt för företag att förbättra förståelsen av den aktuella riskbilden och genomföra nödvändiga säkerhetskontroller.

Informationssäkerhet är ett ämne som står högt på de flesta företags dagordningar. Mellan ökad användning av moln- och automatiseringsteknik, artificiell intelligens, cybersäkerhet, integritet, skadlig kod och utpressningstrojaner tvingas företagen att ta itu med nya scenarier. Detta innebär att de måste omvärdera sin nuvarande riskbild och hantera nya hot på ett aktivt och strukturerat sätt.

"Den förra versionen av standarden kom ut 2013. Mycket i världen har förändrats sedan dess. Den nya versionen är mycket välkommen eftersom den ger nödvändiga säkerhetskontroller och vägledning för att hjälpa företag att bygga upp förtroende för hur de arbetar för att skydda affärskritiska tillgångar", säger Nanda Kumar Shamanna, global ICT-tjänstansvarig inom Business Assurance, DNV.

De viktigaste ändringarna i 2022 års version

Ändringarna gäller främst kontrollerna av informationssäkerheten i bilaga A, vilket förutses i samband med offentliggörandet av ISO/IEC 27002:2022 i februari. 11 nya säkerhetskontroller har lagts till, 58 har uppdaterats och 24 har slagits samman för att återspegla de nya scenarier som företagen ställs inför. Kontrollspråket har uppdaterats och vägledningen i ISO/IEC 27002 har uppdaterats för att hjälpa företag att hantera risker, se till att inget missas och följa upp på rätt sätt. Förutom förändringarna i kontrollerna har ISO/IEC 27001 också anpassats till de senaste uppdateringarna av ISO:s High Level Structure (HLS). Dessa ändringar anses dock vara mindre, eftersom 2013 års utgåva var en av de första standarderna som antog HLS.

De viktigaste områdena i ledningssystemet som påverkas är ledarskap, företagssäkerhet, IT-funktion och andra stödfunktioner. För tjänsteleverantörer påverkas även leveransen.

"Den nya versionen möjliggör effektivare riskhantering tack vare de uppdaterade säkerhetskontrollerna. Den ger företagen en strukturerad metod för att omvärdera sin nuvarande riskbild och återupprätta säkerhetskontroller", säger Nanda Kumar Shamanna.

Övergångstiden är tre år, vilket innebär att befintliga certifikat måste övergå till den nya versionen före november 2025.