Nye NS-ISO/IEC 27001 Informasjonssikkerhet på norsk
IT-sikkerhetsstandarden ISO/IEC 27001 kom i ny utgave i oktober 2022, og nå er også den norske versjonen tilgjengelig. Vi har samlet endringene i en oversiktlig liste.
Det er gjort flere endringer for å forbedre arbeidet med IT-sikkerhet. Den største endringen er i Tillegg A som nå er likt som i NS-EN ISO/IEC 27002 Informasjonssikkerhetstiltak. Der har antall sikkerhetstiltak blitt redusert fra 114 til 93, men 11 av tiltakene er helt nye.
Det er gjort språklige endringer og standarden er harmonisert for å være enkel å bruke med de andre ledelsesstandardene, for eksempel NS-EN ISO 9001.
Endringene i NS-ISO/IEC 27001
Det er ingen store endringer i de eksisterende kravene, men under følger nye krav og de viktigste presiseringene.
4.2 Forstå interessentenes behov og forventninger
Punkt 4.2 c er et nytt punkt som omhandler hvilke krav interessenter har og hvilke som skal håndteres gjennom ledelsessystemet for informasjonssikkerhet.
4.4 Ledelsessystem for informasjonssikkerhet
Punkt 4.4 er oppdatert til at ledelsessystemet også gjelder organisasjonens prosesser og vekselvirkningen mellom dem.
6.1.3 Behandling av informasjonssikkerhetsrisiko
I punkt 6.1.3 beskrives ikke lenger Tillegg A som et helhetlig sett av tiltak, men et sett med mulige tiltak.
6.2 Informasjonssikkerhetsmål og planlegging for å oppnå dem
Punkt 6.2 har fått to nye krav om sikkerhetsmål. 6.2 d sier at målene skal overvåkes og 6.2 g sier at målene skal være tilgjengelig som dokumentert informasjon.
6.3 Planlegging av endringer (nytt krav)
Punkt 6.3 er et nytt krav: «Når organisasjonen bestemmer at det er nødvendig å endre ledelsessystemet for informasjonssikkerhet, skal endringene gjennomføres på en planlagt måte.»
7.4 Kommunikasjon
Under punkt 7.4 Kommunikasjon er 7.4 d og 7.4 e slått sammen og endret til “hvordan det skal kommuniseres”.
8.1 Planlegging og styring av drift
I punkt 8.1 er det et nytt krav om at organisasjonen skal etablere kriterier for prosessen for å møte kravene, og i tillegg etablere kontroller for prosessene i henhold til kriteriene.
8.1 er også oppdatert med at organisasjonen må kontrollere prosesser levert av eksterne.
9.1 Overvåking, måling, analyse og evaluering
I punkt 9.1 presiseres det på en bedre måte en tidligere at organisasjonen skal måle og evaluere ledelsessystemet for informasjonssikkerhet.
9.2 Internrevisjon
Punkt 9.2 Internrevisjon er ikke endret, men har fått en ny struktur hvor det er lagt til to underkapitler som skiller mellom generelle krav og krav til internrevisjonsprogrammet.
9.3 Ledelsens gjennomgang
Punkt 9.3 har også fått ny struktur med underkapitler for generelle krav, grunnlag for ledelsens gjennomgang og resultater av ledelsens gjennomgang.
Det er også et nytt krav for å vurdere endringer i behov og forventninger til interessenter.
10 Forbedring
Under punkt 10 Forbedring har punkt 10.1 Kontinuerlig forbedring og punkt 10.2 Avvik og korrigerende aktiviteter byttet rekkefølge.
Tillegg A
Tillegg A er oppdatert og har nå samme sikkerhetstiltak som i NS-EN ISO/IEC 27002:2022.
Antall sikkerhetstiltak er redusert fra 114 tiltak til 93 hvor 11 er nye.
Sikkerhetstiltakene er nå kategorisert i fire kategorier som er nå er:
- 5 Organisatoriske tiltak
- 6 Sikkerhetstiltak for personer
- 7 Adgangskontroll
- 8 Teknologiske tiltak