Akademin hem
Bloggar
ISO 27001-standarden uppdaterad till 2022 års version - vad har ändrats?
En del av ISO 27001-samlingen
En del av NIS2-samlingen

ISO 27001-standarden uppdaterad till 2022 års version - vad har ändrats?

ISO 27001 insamling
ISO 27001-standarden uppdaterad till 2022 års version - vad har ändrats?
NIS2 samling
ISO 27001-standarden uppdaterad till 2022 års version - vad har ändrats?
Cyberday blogg
ISO 27001-standarden uppdaterad till 2022 års version - vad har ändrats?

Efter nio år har ISO 27001, världens ledande standard för informationssäkerhet, uppdaterats. Den sista uppdateringen av standarden kom den 25.10.2022, även om kontrollistan i ISO 27002 redan hade uppdaterats tidigare.

Denna uppdatering medför endast måttliga förändringar, men det är viktigt att förstå dem noga. Så vad har ändrats när man jämför versionerna från 2013 och 2022 och hur syns dessa uppdateringar på Cyberday?‍

Sammanfattning av uppdateringen av ISO 27001 2022

Huvuddelen av standarden, dvs. paragraferna 4 till 10 i ISO 27001, fick inga betydande ändringar vid revideringen.

ISO 27002:s säkerhetskontroller (eller bilaga A, om du föredrar det) fick i sin tur måttliga förändringar:

  • 11 helt nya kontroller införs
  • Inga kontroller tas helt bort från standarderna, men många kontroller slås samman
  • På grund av sammanslagningarna minskade det totala antalet kontroller i slutändan från 114 till 93, även om kontrollerna som helhet fick mer innehåll
  • Kontrollerna är placerade i 4 sektioner, istället för de tidigare 14
Ny revidering av ISO 27001:2022 finns nu tillgänglig i Cyberday

Nya kontroller i ISO 27001/27002:2022

De 11 helt nya kontrollerna i ISO 27002 är

  • 5.7 Underrättelser om hot: Organisationen måste ha tydliga processer för hur information om säkerhetshot samlas in och analyseras.
  • 5.23 Informationssäkerhet för användning av molntjänster: Organisationen måste ha principer på högsta nivå för hur molntjänster används och hur relaterade risker hanteras, tillsammans med kriterier, t.ex. för att välja säkra leverantörer, övervaka molntjänstleverantörernas verksamhet och använda avtal för att kräva tillräckliga säkerhetsåtgärder från partners.
  • 5.30 ICT-beredskap för affärskontinuitet: Kontinuitetskraven för viktiga ICT-tjänster måste vara tydligt identifierade och härledas från organisationens andra viktiga kontinuitetsplaner.
  • 7.4 Övervakning av fysisk säkerhet: Organisationen måste tydligt definiera vilken typ av övervakningssystem som används i de fysiska lokalerna och säkerställa tillräcklig övervakning av anläggningar med kritiska system.
  • 8.9 Konfigurationshantering: Standardmallar för säkra konfigurationer av datasystem, nätverk och annan utrustning bör användas och andra processer finns för att övervaka korrekta konfigurationer.
  • 8.10 Radering av information: Uppgifter som lagras i datasystem, enheter eller på andra lagringsmedier ska raderas när de inte längre behövs.
  • 8.11 Maskering av data: Behovet av att dölja vissa känsliga uppgifter (t.ex. genom maskering, pseudonymisering eller anonymisering) ska identifieras och genomföras vid behov.
  • 8.12 Förebyggande av dataläckage: Datasystem, nätverk och annan utrustning som behandlar, lagrar eller överför känsliga uppgifter måste ha åtgärder för att förhindra dataläckage.
  • 8.16 Övervakningsaktiviteter: Organisationen måste definiera tydliga processer för övervakning av nätverk och datasystem för att upptäcka avvikande beteende och, när det är relevant, fortsätta processen till säkerhetsincidenthantering.
  • 8.23 Webbfiltrering: Organisationen bör identifiera vilka typer av webbplatser som personalen bör och inte bör ha tillgång till. Åtkomst till externa webbplatser som inte behövs bör hanteras för att minska exponeringen för t.ex. skadlig kod.
  • 8.28 Säker kodning: Organisationen måste ha definierat tydliga regler för säker kodning (t.ex. minimisäkerhetsstandarder), som säkerställer att programvaran skrivs och testas på rätt sätt och minskar risken för tekniska sårbarheter i de tjänster som skapas.

Utöver detta har många kontroller slagits samman i den här uppdateringen. Detta innebär att ännu fler kontroller börjar bli ganska betydande i storlek och kräver noggrant planerat och styckat utförande.

Därutöver gjordes mindre förändringar i kontrollerna, bland annat följande:

  • 57 kontroller slogs samman
  • 23 kontroller döptes om till
  • 1 kontroll var delad

Vi på Cyberday är glada över denna utveckling. Vi har redan tidigare sett att många kontroller blir allt större och större och delar t.ex. 50% av sitt innehåll med liknande kontroller i andra standarder. Det är därför vi har skapat den generiska "uppgiftsnivån" mellan t.ex. ISO-kontroller och uppgifter i ditt eget ISMS. Uppgifterna berättar den mer detaljerade historien om hur du implementerar varje kontroll.

Nya kontrollavsnitt i ISO 27001/27002:2022

Kontrollerna i den nya versionen är indelade i 4 sektioner. Kontrollerna är kategoriserade som...:

  • Personkontroller, om de rör enskilda personer‍
  • Fysiska kontroller, om de avser fysiska objekt‍
  • Teknologiska kontroller, om de avser teknik
  • och i övrigt som organisatoriska kontroller

Denna uppdelning av säkerhetskontroller belyser på ett bra sätt de olika metoder som företag vanligtvis kan använda för att bekämpa alla typer av cyberhot - organisatoriska, mänskliga, tekniska och fysiska åtgärder kan alla vara relevanta och vanligtvis ger en kombination de bästa resultaten. På så sätt säkerställer standarden att organisationerna inte bara tittar på de tekniska sätten att skydda data.

Utöver dessa fyra huvudavsnitt innehåller den nya standardversionen en mängd ytterligare kategoriseringar för kontrollerna. Dessa kategoriseringar kan också användas för att hjälpa organisationer att implementera ISMS.

Kontroller kategoriseras också efter:

  • ‍Kontrolltyper - från förebyggande, detektiva till korrigerande kontroller
  • Informationssäkerhetsegenskaper - om de främst skyddar konfidentialitet, integritet eller tillgänglighet för data
  • Cybersäkerhetskoncept - Identifiera, Skydda, Upptäcka, Svara eller Återhämta (med liknande metod som t.ex. NIST CSF tidigare har använt)
  • Operativ förmåga - utifrån ett praktikerperspektiv och inklusive t.ex. värden som styrning, kapitalförvaltning, personalsäkerhet, fysisk säkerhet, system- och nätverkssäkerhet samt hot- och sårbarhetshantering

Den sista kategoriseringen ligger relativt nära de 14 domäner som tidigare ingick i 2013 års revidering. Om du inte känner dig direkt bekväm med de fyra huvudavsnitten kan du söka ytterligare stöd här.

Dessa kategoriseringar skapar också en förbättrad kompatibilitet mellan ISO 27001-standarden och andra populära informationssäkerhetsstandarder, som NIST CSF, CIS 18 eller CSA CCM.

Implementering av ISO 27001/27002:2022 i Cyberday

Vi har just publicerat det nya ramverket ISO 27001:2022 på Cyberday. Du kan aktivera det nya ramverket i Cyberday:s ramverksbibliotek.

Överlappningsprocenten i Cyberday:s innehåll är över 90 %. Det innebär att över 90% av de uppgifter som du har arbetat med i 2013 års ramverk också ökar din efterlevnad mot 2022 års revision. För att göra övergången behöver du i princip bara implementera de nya 9% av uppgifterna. 👍

ISO 27001:2022 är indelad i 3 nivåer på samma sätt som 2013 års version:

  • ISO 27001:2022 Core: 20% delmängd av hela ISO 27001. Utan dessa grundläggande cyberkrav är det mycket svårt att lova dina kunder att deras data är säkra.
  • ISO 27001:2022 Utökad: 50% delmängd av fullständig ISO 27001. Den ger dig avancerade kontroller för att förbättra säkerheten men går inte upp till certifieringsnivå.
  • ISO 27001:2022 Full: Fullständigt ISMS på certifieringsnivå. Komplett uppsättning av säkerhetskontroller tillsammans med kraven för korrekt hantering av informationssäkerhet, t.ex. relaterade till internrevisioner och riskhanteringsaspekter.

Vi har valt att använda de fyra huvudkategorierna och kategoriseringen av operativa förmågor i vår ramrapport och i vårt Statement of Applicability-dokument.

Avsnitt om efterlevnadsrapport / SoA-sammanfattning i Cyberday

Nu innehåller denna huvudsakliga efterlevnadsrapport också ISO 27001:s obligatoriska krav, så den fungerar som ett turboladdat SoA-dokument som visar hur du uppfyller ISMS-kraven och hur du har implementerat 27002-kontrollerna.

Du kan se allt detta i praktiken när du provar vårt nya ramverk ISO 27001:2022 i ditt eget konto. Om du inte har ett ännu kan du registrera dig för en kostnadsfri testversion.

Ofta ställda frågor

Q: Vi har arbetat med 2013 års version i Cyberday. Kommer jag att kunna dra nytta av arbetet med den nya versionen?

Ja, absolut! Överlappningsprocenten för innehållet i Cyberday för 2013 och 2022 års standardrevision är över 90%. Det innebär att över 90% av de uppgifter som du har arbetat med i 2013 års ramverk också ökar din efterlevnad mot 2022 års revision. För att göra övergången behöver du i princip bara implementera de nya 9% av uppgifterna. 👍

Q: Vi har redan infört ISO 27001. Hur snabbt måste vi reagera?‍

Företag som är certifierade enligt 2013 års revision måste övergå till 2022 års revision före den 31.10.2025. Det innebär att det finns en rejäl övergångsperiod på 36 månader.

Q:Kommer den gamla standardversionen att finnas kvar på Cyberday?

Ja, det gör vi. Under övergångsperioden kommer både 2013 och 2022 års versioner av ISO 27001 att finnas tillgängliga i vårt ramverksbibliotek.

Skrivet av
Aleksi Pulkkanen
18.11.2022
@
apulkkanen
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Dela artikel

Annat liknande innehåll från Akademin

Bloggar

De 10 vanligaste avvikelserna vid revisioner av ISO 27001

Revisioner och avvikelser driver organisationer mot ständiga förbättringar. Men innan din första ISO 27001-certifiering är det bra att känna till några av de vanligaste avvikelserna, så att du kan undvika dem vid din certifieringsrevision.
18.2.2025

Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?

I den här bloggen kommer vi att tala om vikten av att medarbetarna deltar i revisionsintervjun, varför revisorerna värdesätter medarbetarnas insikter och titta närmare på möjliga frågor som ställs i en ISO 27001-intervju.
13.2.2025

Checklista för efterlevnad och certifiering av ISO 27001

Vill du säkerställa att du uppfyller kraven i ISO 27001? Den här checklistan innehåller tydligt ordnade viktiga steg som hjälper din organisation att bygga upp ett ISMS och uppfylla kraven i ISO 27001-standarden.
6.2.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekVeckovisa nyhetsöversikterPrenumerera på AkademinLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet