Om ossStandarderBlog ✦ AIOffert →
Hem  /  Blog  /  ISO 27001-certifiering

ISO 27001:2022 Certifiering — En Komplett Guide

ISO/IEC 27001:2022 har trätt i sin slutgiltiga implementeringsfas. Organisationer certifierade enligt 2013 års version måste agera omedelbart för att uppdatera sitt ledningssystem för informationssäkerhet (ISMS). Denna guide tar upp alla kritiska förändringar, den nya Annex A-strukturen och en praktisk övergångsplan.

ISO 27001 ISMS Certifiering

 ·  8 min läsning

Varför 2022 års revision är viktig

ISO/IEC 27001:2022 ersatte 2013 års utgåva i oktober 2022. International Accreditation Forum (IAF) fastställde en treårig övergångsperiod, vilket innebär att alla befintliga ISO 27001:2013-certifikat måste övergå till 2022 års version senast den 31 oktober 2025. Efter det datumet betraktas certifikat som hänvisar till 2013 års standard som ogiltiga.

Det handlar inte om en mindre administrativ uppdatering. Medan de huvudsakliga klausulerna för ledningssystemet (4 till 10) fick relativt måttliga ändringar, genomgick Annex A en fullständig omstrukturering. De tidigare 114 kontrollerna fördelade på 14 domäner har konsoliderats till 93 kontroller grupperade i fyra teman. Elva helt nya kontroller infördes som speglar det utvecklade hotlandskapet inom områden som molntjänster, hotintelligens, datamaskering och säker utveckling.

Huvudsakliga förändringar i systemklausulerna

Kraven för ledningssystemet i klausulerna 4 till 10 anpassas till den Harmoniserade Strukturen (HS) som används i alla ISO-ledningssystemstandarder. 2022 års revision introducerar flera specifika ändringar:

  • Klausul 4.2 — Intressenter: Organisationer måste uttryckligen fastställa vilka krav från intressenter som ska hanteras genom ISMS.
  • Klausul 4.4 — ISMS-omfattning: Det krävs nu att identifiera nödvändiga processer och deras samverkan, med fokus på processbaserat tänkande.
  • Klausul 6.3 — Planering av förändringar: Ny underklausul. Förändringar i ISMS måste genomföras på ett planerat sätt.
  • Klausul 8.1 — Operativ planering och styrning: Kriterier ska fastställas för säkerhetsprocesser och kontroller ska implementeras i enlighet med dessa.
  • Klausul 9.3 — Ledningens genomgång: Input inkluderar nu explicit förändringar i intressenternas behov och förväntningar.
  • Klausul 10 — Förbättring: Ordningen har ändrats. Ständig förbättring (10.1) kommer nu före avvikelser och korrigerande åtgärder (10.2).

Ny Annex A-struktur: fyra teman istället för fjorton

Den mest synliga förändringen är omorganiseringen av Annex A. 2013 års version hade 14 kontrollkategorier (A.5 till A.18) med 114 kontroller. 2022 års version omstrukturerar dem i fyra temagrupper:

TemaKontrollerBeskrivning
A.5 Organisatoriska37Policyer, roller, ansvarsområden, hotintelligens, tillgångshantering, åtkomstkontroll, leverantörsrelationer och efterlevnad.
A.6 Personal8Bakgrundskontroller, anställningsvillkor, medvetenhet, utbildning, disciplinprocesser och distansarbete.
A.7 Fysiska14Säkerhetsperimetrar, passerkontroll, fysisk övervakning, miljöskydd och policy för rent skrivbord.
A.8 Tekniska34Användarenheter, privilegierad åtkomst, sårbarhetshantering, konfigurationshantering, datamaskering, DLP, övervakning och säker kodning.

De 11 nya kontrollerna du måste hantera

ISO 27001:2022 introducerar elva kontroller utan direkt motsvarighet i 2013 års version:

  • A.5.7 — Hotintelligens: Insamling och analys av information om hot mot informationssäkerheten.
  • A.5.23 — Molntjänstsäkerhet: Dedikerad kontroll för anskaffning, användning och avveckling av molntjänster.
  • A.5.30 — ICT-beredskap för verksamhetskontinuitet: ICT-system måste vara förberedda för avbrott med definierade återställningsmål.
  • A.7.4 — Fysisk säkerhetsövervakning: Kontinuerlig övervakning av lokaler mot obehörig fysisk åtkomst.
  • A.8.9 — Konfigurationshantering: Dokumentation och regelbunden granskning av konfigurationer.
  • A.8.10 — Informationsborttagning: Information ska raderas när den inte längre behövs.
  • A.8.11 — Datamaskering: Tillämpning av maskering enligt åtkomstpolicy.
  • A.8.12 — Förebyggande av dataläckage (DLP): DLP-åtgärder för system som hanterar känslig information.
  • A.8.16 — Övervakningsaktiviteter: Övervakning av nätverk, system och applikationer för avvikelser.
  • A.8.23 — Webbfiltrering: Hantering av åtkomst till externa webbplatser.
  • A.8.28 — Säker kodning: Principer för säker kodning vid programvaruutveckling.

Steg-för-steg övergångsplan

Steg 1: Bristanalys. Jämför din nuvarande tillämplighetsförklaring (SoA) med de nya Annex A-kontrollerna. Kartlägg varje befintlig kontroll till sin 2022 års motsvarighet.

Steg 2: Uppdatera riskbedömningen. Kontrolluppsättningen i din riskbehandlingsplan måste uppdateras för att spegla Annex A i ISO 27002:2022.

Steg 3: Revidera tillämplighetsförklaringen. SoA måste referera till de 93 kontrollerna i 2022 års version.

Steg 4: Uppdatera policyer och rutiner. Granska alla informationssäkerhetspolicyer för anpassning till det nya kontrollsystemet.

Steg 5: Implementera nya kontroller. Definiera implementeringsansats, ansvarsområden, resurser och tidsramar.

Steg 6: Utbilda ditt team. All personal med ISMS-ansvar behöver förstå förändringarna.

Steg 7: Genomför intern revision. Kör en fullständig intern revision mot 2022 års krav före certifieringsrevisionen.

Steg 8: Certifieringsrevision. Koordinera med ditt certifieringsorgan för att boka övergångsrevisionen.

Hur BALTUM stöder din övergång

BALTUMs internationella nätverk av revisorer och konsulter har stöttat organisationer med övergången till ISO 27001:2022 sedan standardens publicering. Våra tjänster inkluderar bristanalys, SoA-granskning, utbildning av interna revisorer och förcertifieringsgranskning.