Endringene i 2022-versjonen av veiledningsstandarder for informasjonssikkerhet relaterer seg primært til kontroller som hjelper selskaper med å håndtere endrede sikkerhetsscenarier og relaterte risikoer.
Siste oppdatering av ISO/IEC 27002 ble gjort i 2013, men noen små endringer i 2017 og det er derfor nødvendig med en oppdatering. Dagens informasjonssikkerhet, cybersikkerhet og personvernrisiko har endret seg dramatisk. Sannsynligheten for potensielle trusler øker og styring av informasjonssikkerhet har blitt et spørsmål om forretningskontinuitet og robusthet. Angrep eller brudd kan i beste fall være en ordensforstyrrelse, men det er i økende grad tilfeller der virksomheter blir hardt rammet, produksjon hemmet eller helt stoppet i dager og til og med uker.
"Informasjonssikkerhet er svært sentralt på både agendaen og i styret hos fleste bedrifter. Det ser ut til at alle kan være i faresonen, men at mange har ikke implementert et skikkelig og robust system for å identifisere, administrere og redusere informasjonssikkerhetsrisikoen deres. Den oppdaterte standarden hjelper bedrifter med å håndtere de endrede informasjonssikkerhets-scenariene, sier Nanda Kumar Shamanna, IKT-forretningsleder for Business Assurance i DNV.
Den nye versjonen tar for seg kontroller knyttet til digitale og sky-teknologier for å inkludere cybersikkerhet og personverntrusler (som løsepenge og skadelig programvare). Standarden er også gjennomgått for å adressere andre sikkerhetsperspektiver, gjennom identifisering av ulike attributter.
Endringene i denne retningslinjestandarden vil påvirke den sertifiserbare standarden ISO/IEC 27001. Revisjonen av ISO/IEC 27001 forventes å bli publisert senere i år, muligens i oktober. Endringene forventes utelukkende å være relatert til kontrollene (vedlegg A). Tidslinjen for overgangen vil bli bestemt som en del av ISO/IEC 27001:2022-utgivelsen senere i år og med denne utgivelsen blir det mulig å starte forberedelsene.
De viktigste fordelene med den nye versjonen for sertifiserte bedrifter er å:
- Adressere nye scenarier og risikoer;
- Hjelpe med å forstå andre sikkerhetsperspektiver;
- Inkludere cybersikkerhet og personvernaspekter;
- Nye kontroller for å sikre at nye/potensielle scenarier og risikoer ikke blir gått glipp av
For bedrifter betyr dette primært å gjennomgå prosesser og systemer knyttet til ledelse, bedriftssikkerhet, IT-funksjon, leveranse (hvis tjenesteleverandør) og andre støttefunksjoner.