27001 2022 blog

Alt hvad du behøver at vide om ISO 27001: 2022-standardopdateringen

En ny og forbedret version af ISO/IEC 27001 blev offentliggjort i sidste uge for at adressere voksende globale cybersikkerhedsudfordringer og forbedre digital tillid. Verdens mest kendte standard for informationssikkerhedsstyring hjælper organisationer med at sikre deres informationsaktiver – hvilket er afgørende i nutidens stadig mere digitale verden. 

Hvis du er ansvarlig for informationssikkerhed, kræver den nye ISO/IEC 27001:2022 standardopdatering, at du implementerer ændringerne for at sikre, at du forbliver kompatibel og tilpasser din infosec-stilling med digitaliseringen af ​​forretningspraksis og medfølgende trusler. 

Hvad har ændret sig In ISO/IEC 27001:2022-standarden  

Den gode nyhed er, at mange ændringer er redaktionelle, for eksempel ved at ændre 'international standard' til 'dokument' hele vejen igennem og omarrangere sætninger for at muliggøre bedre international oversættelse. 

Der er også ændringer for at tilpasse sig den ISO-harmoniserede tilgang: 

  • Omstrukturering af nummerering 
  • Kravet om at definere processer, der er nødvendige for at implementere ISMS og deres interaktioner 
  • Det eksplicitte krav om at kommunikere organisatoriske roller, der er relevante for informationssikkerhed i organisationen 
  • Nyt punkt 6.3 – Planlægning af ændringer 
  • Et nyt krav til at sikre, at organisationen bestemmer, hvordan der skal kommunikeres som en del af paragraf 7.4 
  • Nye krav til etablering af kriterier for driftsprocesser og implementering af styring af processerne

Kerneændringerne gælder dog for opdateringer af de nuværende kontroller i bilag A for at tilpasse standarden bedre til de seneste ændringer til ISO/IEC 27002 – Informationssikkerhed, cybersikkerhed og beskyttelse af privatlivets fred.

Ændringerne til ISO/IEC 27001: 2022 tager også højde for, at risikostyring i stigende grad spreder sig over flere organisatoriske funktioner. Derfor er opdateringerne beregnet til at gøre det mere ligetil for flere mennesker at kortlægge og implementere de korrekte sikkerhedskontroller. 

Hvad er Kerneændringer til bilag A Kontroller i ISO/IEC 27001:2022 

Antallet af kontroller er reduceret fra 114 til 93

Nogle kontroller er blevet slettet, 24 kontroller er blevet slået sammen, og 58 er blevet revideret. 11 nye sikkerhedskontroller er blevet tilføjet, designet til at adressere det udviklende informationssikkerhed og cybersikkerhedslandskab; disse er: 

A.5.7 Trusselsefterretninger  

A.5.23 Informationssikkerhed for brug af cloud-tjenester  

A.5.30 IKT-beredskab til forretningskontinuitet  

A.7.4 Fysisk sikkerhedsovervågning  

A.8.9 Konfigurationsstyring  

A.8.10 Sletning af oplysninger  

A.8.11 Datamaskering  

A.8.12 Forebyggelse af datalækage  

A.8.16 Overvågningsaktiviteter  

A.8.23 Webfiltrering  

A.8.28 Sikker kodning  

Som følge heraf skal du opdatere dit ledelsessystem for at optimere eksisterende ISMS og bedre tilpasses konteksten for dine informationssikkerhedsrisici og din organisation. 

Strukturen er blevet konsolideret i fire nøgleområder

  • Organisatorisk 
  • Mennesker
  • Fysisk  
  • Teknologisk  

Dette står i kontrast til de 14 områder, der udgjorde den tidligere version af standarden.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2
Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1
Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2
Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3
Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3
Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2
Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3
Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6
Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2
Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3
Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5
Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3
Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3
Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6
Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
Bilag A 11.2.5
Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8
Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3
Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3
Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2
Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2
Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3
Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9
Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6
Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4
Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Begrebet attributter er blevet introduceret

På linje med den almindelige terminologi, der bruges inden for digital sikkerhed, er fem attributter blevet introduceret:  

  • Kontroltype 
  • Informationssikkerhedsegenskaber 
  • Cybersikkerhedskoncepter 
  • Operationelle kapaciteter 
  • Sikkerhedsdomæner

Disse bør gøre det muligt for organisationer at forstå deres nuværende sikkerhedsposition bedre og tilskynde til indførelse af sikkerhedspraksis og -processer, der vil føre til mere effektiv forretningsdrift. 

Yderligere vejledning til ISO/IEC 27001: 2022 

Download vores nyttige 'Sammendrag af ændringer'-arbejdsark, der skitserer alle de kritiske ændringer af kontroller fra den aktuelle version og tilbyder en køreplan for at opnå ISO/IEC 27001:2022.  

Download guide

Styrk din informationssikkerhed i dag 

Organisationer, der anvender cyberresiliens, fremstår hurtigt som førende i deres branche og opnår en konkurrencefordel. Den opdaterede ISO/IEC 27001 sikrer, at hele organisationen er dækket, ikke kun dit infosec-team og understøtter din digitaliseringsstrategi, reducerer risikoen for brud og opbygger tillid til dit brand og din organisations informationsmodstandsdygtighed.  

ISMS.online-platformen og -værktøjerne er klar til at støtte dig nu, lige fra at hjælpe dig med at forstå ændringerne, kontrollere indvirkningen på din organisations sikkerhedsmål, implementeringsvejledning og overflytning af din certificering. Lås op for din overholdelsesfordel i dag!  

Book en demo

Status for informationssikkerhedsrapport 2024 nu live - læs nu