09-11-2022

Ny version af standard for informationssikkerhed

I takt med den stigende cybertrussel vælger flere og flere virksomheder at følge de internationale standarder for informationssikkerhed i ISO/IEC 27000-serien. Der er netop udkommet en ny version af kravstandarden ISO/IEC 27001, og certificerede virksomheder skal derfor re-certificeres inden for tre år.

Ransomware, industrispionage, tab af fortrolige oplysninger eller driftsstop. Cyberangreb er en af de største trusler mod danske virksomheder og trusselsbilledet ændrer sig konstant. Derfor er cyber- og informationssikkerhed efterhånden også på de fleste virksomheders agenda og fortsat flere vælger at arbejde med standarder på området for at styrke beredskabet mod cyberangreb. En ny version af den internationale kravstandard for informationssikkerhed ISO/IEC 27001, som giver redskaber til at imødegå de mange trusselsscenarier, virksomhederne står overfor, er på gaden nu.

- ISO/IEC 27001 giver virksomheder og organisationer et værktøj til at håndtere de mange nye trusler og beskytte deres forretningskritiske aktiver på en struktureret og systematisk måde. Og samtidigt kan man ved at følge standarden dokumentere over for kunder og myndigheder, at man lever op til krav og evt. lovgivning på området, siger Berit Aadal, seniorkonsulent i Dansk Standard.

ISO/IEC 27001 er en af verdens mest udbredte standarder for informationssikkerhed og henvender sig til alle typer og størrelser af organisationer, private såvel som offentlige. Standarden opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.

Virksomheder skal re-certificeres inden for tre år

Ændringerne omhandler foranstaltningerne i ISO/IEC 27001’s anneks A, som omfatter anbefalinger til både politikker, processer, procedurer, organisationsstrukturer samt software- og hardware-funktioner. Foranstaltningerne er ændret i overensstemmelse med ændringerne i standarden ISO/IEC 27002, som blev udgivet i en ny version tidligere på året, hvor man er gået fra 114 til 93 foranstaltninger. Og hvor foranstaltningerne nu er kategoriseret efter fire temaer; organisatoriske, tekniske, fysiske og adfærdsmæssige foranstaltninger.

Hvis man i dag er certificeret efter den gældende udgave af ISO/IEC 27001, så gælder certificeringen fortsat i en overgangsperiode på tre år fra udgivelsesdagen. Herefter bliver certificeringer efter denne udgave officielt forældede. Det betyder, at virksomheder, der er certificeret i standarden, senest i november 2025 skal re-certificeres efter den nye ISO/IEC 27001:2022.

Standarden bliver senere godkendt som en europæisk og dansk standard (DS/EN) og bliver også oversat til dansk.