17 november 2022

Ny versjon av ISO-standard for informasjonssikkerhet lansert

informasjonssikkerhet.jpg

Første november i år kom den nye versjonen av ISO 27001 for informasjonssikkerhet. Hva betyr dette for dem som allerede har en 27001-sertifisering?

Den nye versjonen av standarden har fått betegnelsen ISO 27001:2022. Revisjonsleder Kai Ove Finvold i Kiwa opplyser at de som har en 27001-sertifisering må oppdatere sitt ledelsessystem for informasjonssikkerhet innen første november 2025 for at sertifikatet skal være gyldig.

- Alle sertifikater som det står ISO 27001:2013 eller ISO 27001:2017 på, vil i prinsippet være ugyldige etter denne datoen, sier Finvold og fortsetter:

- Før første november 2025 må det også gjennomføres en revisjon eller en vurdering for å bekrefte at ledelsessystemet er oppdatert slik at det dekker kravene i ISO 27001:2022, inkludert kontrollene i Vedlegg A. Overgangen til ny versjon kan enten skje i en årlig oppfølgingsrevisjon, i forbindelse med en resertifisering eller som en separat revisjon, dersom det passer best.

Hva er nytt i ISO 27001:2022?

Finvold forteller at det er snakk om mindre endringer i selve standarden, som beskrives i kapitlene fire til ti.

- Det er blant annet kommet inn noen prosesskrav som er tilsvarende kravene i ISO 9001-standarden, krav om internkommunikasjon om de rollene i organisasjonen som angår informasjonssikkerhet og et nytt kapittel om planlegging av endringer, sier Finvold og fortsetter:

- De vesentligste endringene finner vi i vedlegg A, som omhandler kontrollene. Her har 14 kapitler blitt til 4 områder: Organisatorisk (37 kontroller), menneskelig (8 kontroller), fysisk (14 kontroller) og teknologisk (34 kontroller). Antall kontroller er dermed redusert fra 114 til 93. Noen har blitt slått sammen, noen er fjernet og noen er oppdatert. Dessuten er det lagt til 11 nye kontroller.

Nyttig standard for informasjonshåndtering

Finvold poengterer at ISO 27001 er en svært nyttig standard for alle som har behov for å sikre forretningskritisk og sensitiv informasjon.

- Jeg har alltid vært imponert over at en standard fra 2013 fremdeles kan være så anvendelig og aktuell i 2022. Med den nye oppdaterte versjonen vi nå har fått, er jeg trygg på at det vil bli enda enklere å jobbe med informasjonssikkerhet, fremhever Finvold.

Les mer om sertifisering for informasjonssikkerhet her

Se opptak av vårt webinar om cybersikkerhet