alt du trenger å vite om iso 27001 2022 banner

Alt du trenger å vite om ISO 27001: 2022-standardoppdateringen

En ny og forbedret versjon av ISO/IEC 27001 ble publisert i oktober 2022 for å møte økende globale cybersikkerhetsutfordringer og forbedre digital tillit. Verdens mest kjente standard for informasjonssikkerhetsadministrasjon hjelper organisasjoner med å sikre informasjonsressursene deres – noe som er avgjørende i dagens stadig mer digitale verden.

Hvis du er ansvarlig for informasjonssikkerhet, krever den oppdaterte ISO/IEC 27001:2022-standardoppdateringen at du implementerer endringene for å sikre at du forblir kompatibel og tilpasser din infosec-stilling med digitaliseringen av forretningspraksis og medfølgende trusler.

Hva har forandret seg In ISO/IEC 27001:2022-standarden  

Den gode nyheten er at mange endringer er redaksjonelle, for eksempel ved å endre "internasjonal standard" til "dokumentere" gjennom og omorganisere setninger for å gi bedre internasjonal oversettelse. 

Det er også endringer for å tilpasse seg den harmoniserte ISO-tilnærmingen: 

  • Omstrukturering av nummerering 
  • Kravet om å definere prosesser som trengs for å implementere ISMS og deres interaksjoner 
  • Det eksplisitte kravet om å kommunisere organisatoriske roller som er relevante for informasjonssikkerhet i organisasjonen 
  • Ny punkt 6.3 – Planlegging av endringer 
  • Et nytt krav for å sikre at organisasjonen bestemmer hvordan man skal kommunisere som en del av paragraf 7.4 
  • Nye krav om å etablere kriterier for operasjonelle prosesser og implementere kontroll av prosessene

Kjerneendringene gjelder imidlertid oppdateringer av gjeldende kontroll i vedlegg A for å tilpasse standarden bedre med de nylige endringene i ISO/IEC 27002 – Informasjonssikkerhet, cybersikkerhet og personvern.

Endringene i ISO/IEC 27001:2022 tar også i betraktning at risikostyring i økende grad sprer seg over flere organisatoriske funksjoner. Derfor er oppdateringene ment å gjøre det enklere for flere å kartlegge og implementere de riktige sikkerhetskontrollene. 

Hva er De Kjerneendringer i vedlegg A Kontroller i ISO/IEC 27001:2022 

Antall kontroller er redusert fra 114 til 93

Noen kontroller er slettet, 24 kontroller er slått sammen og 58 er revidert. 11 nye sikkerhetskontroller er lagt til, designet for å adressere det utviklende landskapet for informasjonssikkerhet og cybersikkerhet; disse er: 

A.5.7 Trusseletterretning  

A.5.23 Informasjonssikkerhet for bruk av skytjenester  

A.5.30 IKT-beredskap for forretningskontinuitet  

A.7.4 Fysisk sikkerhetsovervåking  

A.8.9 Konfigurasjonsadministrasjon  

A.8.10 Sletting av informasjon  

A.8.11 Datamaskering  

A.8.12 Forebygging av datalekkasje  

A.8.16 Overvåkingsaktiviteter  

A.8.23 Nettfiltrering  

A.8.28 Sikker koding  

Som et resultat må du oppdatere styringssystemet ditt for å optimalisere eksisterende ISMS og bedre tilpasse deg konteksten for informasjonssikkerhetsrisikoene dine og organisasjonen din. 

Strukturen er konsolidert i fire nøkkelområder

  • Organisasjons 
  • Ansatte
  • Fysisk  
  • teknologisk  

Dette står i kontrast til de 14 områdene som utgjorde den forrige versjonen av standarden.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2
Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1
Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2
Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3
Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3
Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2
Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3
Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6
Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2
Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3
Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3
Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6
Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
Vedlegg A 11.2.5
Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8
Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3
Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3
Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2
Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2
Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3
Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9
Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6
Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4
Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

 

Begrepet attributter er introdusert

På linje med den vanlige terminologien som brukes innen digital sikkerhet, har fem attributter blitt introdusert:  

  • Kontrolltype 
  • Informasjonssikkerhetsegenskaper 
  • Cybersikkerhetskonsepter 
  • Operasjonelle evner 
  • Sikkerhetsdomener

Disse bør gjøre det mulig for organisasjoner å forstå deres nåværende sikkerhetsstilling bedre og oppmuntre til å ta i bruk sikkerhetspraksis og -prosesser som vil føre til mer effektiv forretningsdrift. 

Når trer den oppdaterte ISO/IEC 27001: 2022-versjonen i kraft

ISO/IEC 27001:2022 trådte i kraft umiddelbart i oktober 2022, men ga organisasjoner som allerede er sertifisert etter ISO 27001:2013 tre år på seg til å gå over til den nye 2022-versjonen. Med oktober 2025-fristen bare tolv måneder unna, må organisasjoner som ennå ikke har gått over til 2022-versjonen sørge for at deres sertifiseringer er oppdatert nå for å overholde den nye standarden.

Ytterligere veiledning for ISO/IEC 27001:2022 

Last ned vårt nyttige "Summary of Changes"-arbeidsark som skisserer alle de kritiske endringene i kontroller fra gjeldende versjon og tilbyr et veikart for å oppnå ISO/IEC 27001:2022.  

Last ned guide

Styrk din informasjonssikkerhetsstilling i dag 

Organisasjoner som tar i bruk cyberresiliens, dukker raskt opp som ledere i sin bransje og oppnår et konkurransefortrinn. Den oppdaterte ISO/IEC 27001 sikrer at hele organisasjonen er dekket, ikke bare infosec-teamet ditt, og støtter digitaliseringsstrategien din, reduserer risikoen for brudd og bygger tillit til merkevaren din og organisasjonens informasjonsresiliens.  

ISMS.online-plattformen og verktøyene er klare til å støtte deg nå, fra å hjelpe deg med å forstå endringene, sjekke innvirkningen på organisasjonens sikkerhetsmål, implementeringsveiledning og overgang til sertifiseringen din. Lås opp overholdelsesfordelen din i dag!  

Book A Demo

Strømlinjeform arbeidsflyten din med vår nye Jira-integrasjon! Lær mer her.