Blog om informationssikkerhed, GDPR og compliance

Tre måder ISO 27001 opdateringen vil påvirke din virksomhed

[fa icon="calendar"] 15. april 2013 / af Jakob Holm Hansen

Det er otte år siden at ISO 27001 standarden sidst blev ændret men nu er forandringer på vej.
 
I slutningen af 2013 kommer en ny version af informationssikkerheds standarden ISO 27001. Hvis du hører til dem der skal efterleve standarden eller blot anser det som god skik, så vil der komme en overgangsperiode hvor din virksomhed skal ændre på sine processer. Det er en tidskrævende proces men vi er så heldige at dele af opdateringen allerede er blevet offentliggjort.
 
Nedenfor finder du de tre vigtigste ændringer i ISO 27001 opdateringen så du, allerede nu, kan begynde at forberede dig.
  1. Øget fleksibilitet i dit valg af risikometode
I den nuværende version af ISO 27001 standarden er det et krav at en aktiv-ejer identificeres, og at der gennemføres en trusselsbaseret sårbarhedsvurdering. I det nye udkast benyttes i stedet det mere præcise udtryk risiko-ejer, og der er kun krav om at identificere risici i forhold til fortrolighed, integritet og tilgængelighed. Dermed forsøger man at tilpasse risikoprocessen til risikostyringsstandarden ISO 31000.
 
Det vil dog stadigvæk være ISO 27005 standarden de fleste vil benytte som udgangspunkt for risikoprocessen, da den specifikt beskæftiger sig med it-risici til forskel fra ISO 31000 der danner rammen for analyse af alle slags risici i en virksomhed.
  1. Skærpede krav til Information Security Management System konteksten
I den nuværende ISO 27001 version er afsnittet omkring etablering af ISMS'et og omfanget (scope) kortfattet og upræcist. Kravene til organisationers ISMS kontekst er blevet fremhævet med et krav om at alle relevante eksterne interessenters krav skal være beskrevet som en del af ISMS'et.
  1. Krav til overvågning og måling får deres eget afsnit
Hvor de før var spredt ud under andre krav har kravene til overvågningen og måling af effektiviteten nu fået deres eget afsnit. Der er derfor øget fokus på at virksomheder identificerer, beskriver og kan dokumentere effektiviteten af implementerede it-kontroller. Virksomheder skal udarbejde Key Performance Indicators for evaluering af alle implementerede sikringsforanstaltninger og kunne dokumentere KPI'ernes output.
 
ISO 27001 opdateringen er stadig åben for ændringer men disse tre punkter burde give dig et forspring så du kan få en mere glidende overgang.
 
Er der overset, eller udeladt, noget vigtigt så skriv gerne en kommentar eller kontakt mig direkte.

Om vores GRC blog

Vores GRC blog giver gode råd og viden om effektiv styring af governance, risk og compliance. Vi fokuserer på at tale primært om informationssikkerhed og databeskyttelse. Standarderne er oftest ISO 27001/2, GDPR, NIS2, DORA og TISAX.

Populære indlæg