Ændringerne i 2022-versionen af vejledningsstandarderne for informationssikkerhed vedrører primært kontroller, der hjælper virksomheder med at håndtere skiftende sikkerhedsscenarier og relaterede risici.
Den seneste opdatering af ISO/IEC 27002 fandt sted i 2013 med mindre ændringer i 2017. En revision var derfor tiltrængt. Nutidens informationssikkerhed, cybersikkerhed og risici for privatlivets fred har ændret sig dramatisk. Truslen mod alle virksomheder er blevet intensiveret, og styring af informationssikkerhed er blevet et spørgsmål om forretningskontinuitet og modstandsdygtighed. Angreb eller brud kan i bedste fald være til gene, men der er stadig flere tilfælde, hvor virksomheder påvirkes alvorligt, hvor produktionen hæmmes eller helt stoppes i dagevis eller endda i uger.
"Emnet er meget centralt på de fleste virksomheders dagsordener og i de fleste bestyrelser. Det ser ud til, at alle er i fare, men mange har ikke implementeret et ordentligt og solidt system til at identificere, styre og mindske deres informationssikkerhedsrisici. Den opdaterede standard hjælper virksomhederne med at håndtere de skiftende informationssikkerhedsscenarier", siger Nanda Kumar Shamanna, ICT business manager for Business Assurance i DNV.
Den nye version omhandler kontrolforanstaltninger i forbindelse med digitale teknologier og cloud-teknologier for at indarbejde trusler mod cybersikkerhed og privatlivets fred (f.eks. ransomware og malware). Standarden er også blevet revideret for at tage højde for andre sikkerhedsperspektiver gennem identifikation af forskellige attributter.
Ændringerne af denne vejledningsstandard vil påvirke den certificerbare standard ISO/IEC 27001. Revisionen af ISO/IEC 27001 forventes at blive offentliggjort senere i år, muligvis i oktober. Ændringerne forventes udelukkende at være relateret til kontrolforanstaltningerne (bilag A). Tidsplanen for overgangen vil blive fastlagt som led i udgivelsen af ISO/IEC 27001:2022 senere i år; med udgivelsen af ISO/IEC 27002 er det dog muligt at påbegynde forberedelserne.
De vigtigste fordele ved den nye version for certificerede virksomheder:
- tager højde for nye scenarier og risici;
- Hjælper med at forstå andre sikkerhedsperspektiver;
- Omfatter aspekter vedrørende cybersikkerhed og beskyttelse af privatlivets fred;
- Nye kontroller for at sikre, at nye scenarier og risici ikke overses.
For virksomheder betyder det primært en gennemgang af processer og systemer i forbindelse med ledelse, virksomhedssikkerhed, IT-funktion, levering (hvis tjenesteudbyder) og andre støttefunktioner.
