Ändringarna i 2022 års version av vägledningsstandarderna för informationssäkerhet gäller främst kontroller som hjälper företag att hantera förändrade säkerhetsscenarier och relaterade risker.
Den senaste uppdateringen av ISO/IEC 27002 gjordes 2013 med mindre ändringar 2017. En revidering var alltså efterlängtad. Dagens risker för informationssäkerhet, cybersäkerhet och integritet har förändrats dramatiskt. Hotet mot alla företag har intensifierats och hanteringen av informationssäkerhet har blivit en fråga för affärskontinuitet och motståndskraft. Attacker eller överträdelser kan i bästa fall vara besvärliga, men det finns allt fler fall där företag påverkas allvarligt, produktionen hämmas eller stoppas helt i dagar och till och med veckor.
"Ämnet är mycket centralt för de flesta företag och styrelser. Det verkar som om alla är i riskzonen, men många har inte infört ett ordentligt och robust system för att identifiera, hantera och minska sina informationssäkerhetsrisker. Den uppdaterade standarden hjälper företagen att hantera de föränderliga scenarierna för informationssäkerhet", säger Nanda Kumar Shamanna, ICT business manager of Business Assurance på DNV.
Den nya versionen tar upp kontroller som rör digital teknik och molnteknik för att införliva hot mot cybersäkerhet och integritet (t.ex. utpressningstrojaner och skadlig kod). Standarden har också setts över för att ta upp andra säkerhetsperspektiv genom identifiering av olika attribut.
Ändringarna i denna vägledande standard kommer att påverka den certifierbara standarden ISO/IEC 27001. Översynen av ISO/IEC 27001 förväntas publiceras senare i år, eventuellt i oktober. Ändringarna förväntas endast gälla kontrollerna (bilaga A). Tidsplanen för övergången kommer att beslutas som en del av offentliggörandet av ISO/IEC 27001:2022 senare i år, men i och med offentliggörandet av ISO/IEC 27002 är det möjligt att påbörja förberedelserna.
De viktigaste fördelarna med den nya versionen för certifierade företag:
- Tar upp nya scenarier och risker;
- Hjälper till att förstå andra säkerhetsperspektiv;
- Inkluderar cybersäkerhet och integritetsaspekter;
- Nya kontroller för att säkerställa att nya scenarier och risker inte missas.
För företag innebär detta i första hand en översyn av processer och system som rör ledarskap, företagssäkerhet, IT-funktionen, leverans (om tjänsteleverantör) och andra stödfunktioner.