Omstilling til ISO/IEC 27001

Ledelsessystem for informasjonssikkerhet

Standarden ISO/IEC 27001 for ledelsessystemer for informasjonssikkerhet gir bedriftene et rammeverk for risikostyring og beskyttelse mot trusler slik at informasjonsressursene kan sikres, enten det dreier seg om finansiell informasjon, immateriell eiendom, ansattopplysninger eller andre ting. 

I dag settes informasjonssikkerhet stadig høyere på bedriftenes dagsorden. Nye scenarioer gjør tiltak mer presserende. I et landskap som i økende grad preges av skyløsninger og automatisering, kunstig intelligens, hensyn til cybersikkerhet og personvern, skadevare og løsepengevirus, tvinges bedriftene til å revurdere sine omgivelser, viktige risikofaktorer og trusler samt relevante interessenter på en strukturert og pålitelig måte. 

Forrige versjon ble utgitt i 2013, og det var nødvendig med en ny versjon for å hjelpe bedriftene med å navigere i nye scenarioer og etablere sikkerhetstiltak som svarer til dagens situasjon.

Den reviderte ISO/IEC 27001:2022

Den nye ISO/IEC 27001:2022-versjonen adresserer de nye scenarioene som bedriftene må kunne håndtere. Endringene finnes hovedsakelig i vedlegg A som ble varslet ved utgivelsen av ISO/IEC 27002, der det er lagt til, slettet og slått sammen sikkerhetstiltak. Endringene innebærer utvidelser som dekker aspekter ved cybersikkerhet og personvern, dessuten er den språklige gjengivelsen av tiltakene oppdatert, og ytterligere veiledning er lagt til. Dette forenkler risikostyringen og bidrar til at ingenting blir oversett og alt blir fulgt opp. 

Forrige versjon ble utgitt i 2013. Ikke overraskende er endringene i sikkerhetstiltakene betydelige og omfatter 11 nye, 58 oppdaterte og 24 sammenslåtte tiltak. De endrede scenarioene som adresseres, er spesielt:

  • introduksjonen av digitale teknologier som nettskyer og automatisering 
  • nye tilpasninger av slike teknologier
  • større fokusering på cybersikkerhet og personvern 
  • endringer i trusselbildet, for eksempel nye typer skadevare og løsepengevirus
  • samordning med andre anerkjente rammeverk, for eksempel NIST, COBIT osv.
  • oppdatering av språklig gjengivelse og styrket veiledning

De viktigste områdene som berøres av endringene, er:

  • ledelse 
  • bedriftssikkerhet
  • IT-funksjonen
  • andre støttefunksjoner
  • levering (for tjenesteleverandører)

For å sikre overholdelse må bedriftene utføre en ny risikovurdering og reetablere sikkerhetstiltakene sine. 

I tillegg til tiltaksendringene er 2022-versjonen også blitt justert i samsvar med de siste oppdateringene av ISOs High Level Structure (HLS). Disse endringene er basert på den nyeste versjonen av SL-vedlegget i del 1 av ISO/IEC-retningslinjene (2022). Disse endringene er imidlertid beskjedne siden 2013-versjonen var en av de første standardene som tok HLS i bruk.

Omstillingstid

Den nye versjonen av ISO/IEC 27001 ble utgitt 25. oktober 2022. Omstillingstiden er tre år. Gjeldende 2013-sertifikater må derfor føres over til den nye versjonen før november 2025.

Omstillingsrevisjonen kan utføres i forbindelse med en hvilken som helst planlagt revisjon i løpet av omstillingsperioden på tre år, men kan også utføres som en egen/separat omstillingsrevisjon.

Forberedelser til iverksetting

Vi anbefaler at bedriften starter forberedelsene til omstillingen så tidlig som mulig og planlegger nøye, slik at de nødvendige endringene blir innlemmet i ledelsessystemet.  

Anbefalte trinn i omstillingen:

  • Gjør dere kjent med innholdet og kravene i den nye standarden. Fokuser på endringene som er gjort i den nye standarden. 
  • Påse at det relevante personalet i organisasjonen har nødvendig kompetanse og forstår kravene og de viktigste endringene. 
  • Identifiser manglene som må håndteres for at de nye kravene skal oppfylles, og lag en iverksettingsplan. 
  • Iverksett tiltakene og oppdater ledelsessystemet slik at det oppfyller de nye kravene.   

Hva vi kan hjelpe med

Enten dere er sertifisert for ISO/IEC 27001 eller er ukjent med standarden, kan DNV hjelpe bedriften med sertifiseringen av og omstillingen til ledelsessystemet for informasjonssikkerhet. Som et av verdens ledende sertifiseringsorganer arbeider vi med informasjonssikkerhet og personvern i små og store bedrifter over hele verden. 

Hvis dere er i ferd med å forberede omstillingen fra 2013-versjonen til 2022-versjonen, kan vi hjelpe med:

  • opplæring, der dere lærer om revisjonen og får en grunnleggende oversikt over de viktigste endringene og omstillingsprosessen 
  • nettbaserte selvvurderingsverktøy samt mangelanalyse hos eller utenfor bedriften for å finne ut i hvilken grad bedriftens ledelsessystem oppfyller de nye kravene 
  • omstillingsrevisjon med sikte på sertifisering i samsvar med den nye versjonen av standarden

Vi kan hjelpe dere med alle deler av prosessen.

Ser dere på sertifisering til ISO/IEC 27001 for første gang? Besøk vår tjenesteside for ledelsessystemer for informasjonssikkerhet, der det finnes mer informasjon om egenskaper, fordeler og sertifiseringsmåte.