Kiwa: 17 november 2022
Hva er nytt i ISO 27001?
Første november i år kom den nye versjonen av ISO 27001 for informasjonssikkerhet. Hva betyr dette for dem som allerede har en 27001-sertifisering?
Den nye versjonen av standarden har fått betegnelsen ISO 27001:2022. Revisjonsleder Kai Ove Finvold i Kiwa opplyser at de som har en 27001-sertifisering må oppdatere sitt ledelsessystem for informasjonssikkerhet innen første november 2025 for at sertifikatet skal være gyldig.
– Alle sertifikater som det står ISO 27001:2013 eller ISO 27001:2017 på, vil i prinsippet være ugyldige etter denne datoen, sier Finvold og fortsetter:
– Før første november 2025 må det også gjennomføres en revisjon eller en vurdering for å bekrefte at ledelsessystemet er oppdatert slik at det dekker kravene i ISO 27001:2022, inkludert kontrollene i Vedlegg A. Overgangen til ny versjon kan enten skje i en årlig oppfølgingsrevisjon, i forbindelse med en resertifisering eller som en separat revisjon, dersom det passer best.
Hva er nytt i ISO 27001:2022?
Finvold forteller at det er snakk om mindre endringer i selve standarden, som beskrives i kapitlene fire til ti.
– Det er blant annet kommet inn noen prosesskrav som er tilsvarende kravene i ISO 9001-standarden, krav om internkommunikasjon om de rollene i organisasjonen som angår informasjonssikkerhet og et nytt kapittel om planlegging av endringer, sier Finvold og fortsetter:
– De vesentligste endringene finner vi i vedlegg A, som omhandler kontrollene. Her har 14 kapitler blitt til 4 områder: Organisatorisk (37 kontroller), menneskelig (8 kontroller), fysisk (14 kontroller) og teknologisk (34 kontroller). Antall kontroller er dermed redusert fra 114 til 93. Noen har blitt slått sammen, noen er fjernet og noen er oppdatert. Dessuten er det lagt til 11 nye kontroller.
Nyttig standard for informasjonshåndtering
