Siirtyminen ISO/IEC 27001 -standardiin

Tietoturvallisuuden hallintajärjestelmä

Tietoturvallisuuden hallintajärjestelmästandardi ISO/IEC 27001 tarjoaa yrityksille puitteet riskien hallintaan ja uhkien torjuntaan, jotta tietovarallisuus, kuten taloudelliset tiedot, henkinen pääoma, työntekijöihin liittyvät tiedot ja muut tiedot voidaan pitää turvassa.

Nykyään tietoturva on nousemassa lähes kaikkien yritysten asialistalle. Uusien skenaarioiden myötä kiireellisyys muuttuu. Pelkästään pilvi- ja automaatiotekniikoiden lisääntyneen käyttöönoton, kyberturvallisuuden, yksityisyyden suojan, haittaohjelmien ja lunnasohjelmien välillä yritysten on pakko arvioida uudelleen asiayhteytensä, tärkeimmät riskit ja uhat sekä asiaankuuluvat sidosryhmät jäsennellysti ja luotettavasti.

Edellinen versio julkaistiin vuonna 2013, joten uusi versio oli tarpeen, jotta yritykset voivat navigoida uusissa skenaarioissa ja varmistaa, että nykyiset tietoturvakontrollit ovat käytössä.

Päivitetty ISO/IEC 27001:2022

Uudessa ISO/IEC 27001:2022 -versiossa huomioidaan uusia skenaarioita, joita yritysten on käsiteltävä. Muutokset koskevat pääasiassa liitettä A, joka on ennakoitu ISO/IEC 27002:n julkaisemisen myötä, ja siihen on lisätty, poistettu tai yhdistetty turvallisuusvalvontakeinoja. Muutokset ulottuvat myös kyberturvallisuuteen ja yksityisyyden suojaan liittyviin näkökohtiin, ja valvontakieli on päivitetty ja siihen on lisätty lisäohjeita. Tämä auttaa yrityksiä hallitsemaan riskejä, varmistamaan, ettei mitään jää huomaamatta, ja toteuttamaan asianmukaisia jatkotoimia.

Viimeisin versio julkaistiin vuonna 2013. Ei ole yllättävää, että turvavalvonnan muutokset ovat melko merkittäviä: 11 uutta, 58 päivitettyä ja 24 yhdistettyä. Erityisesti käsitellään seuraavia muuttuvia skenaarioita:

  • Digitaalisen teknologian, kuten pilvipalvelun ja automaation, käyttöönotto;
  • Tällaisten tekniikoiden lisääntynyt käyttöönotto viime aikoina;
  • Kyberturvallisuuteen ja yksityisyyteen liittyvien riskien tunnistaminen;
  • Muuttuvan uhkakuvan, esim. uudentyyppisten haittaohjelmien ja kiristyshaittaohjelmien, huomioon ottaminen;
  • Yhdenmukaistaminen muiden parhaiden käytäntöjen kanssa, esim. NIST, COBIT jne.
  • Valvontakielen ajantasaistaminen ja lisäohjeiden lisääminen 

Muutokset vaikuttavat pääasiassa seuraaviin aloihin:

  • johtaminen
  • yritysturvallisuus;
  • IT-toiminta;
  • muut tukitoiminnot;
  • toimitus (palveluntarjoajien osalta).  

Täyttääkseen vaatimukset organisaatioiden on arvioitava uudelleen riskinarviointinsa ja otettava uudelleen käyttöön turvavalvontansa.

Valvontoihin tehtyjen muutosten lisäksi vuoden 2022 painos on myös mukautettu uudelleen ISOn korkean tason rakenteen (HLS) viimeisimpiin päivityksiin. Nämä muutokset perustuvat ISO/IEC-direktiivien osan 1 (2022) liitteen SL uusimpaan versioon. Näitä muutoksia pidetään kuitenkin vähäisinä, koska vuoden 2013 painos oli yksi ensimmäisistä standardeista, joissa HLS otettiin käyttöön.

Siirtymävaiheen aikataulu

ISO/IEC 27001 -standardin uusi versio julkaistiin 25. lokakuuta 2022.  Siirtymäaikatauluksi on asetettu 3 vuotta. Nykyiset 2013-sertifikaatit on siis siirrettävä uuteen versioon 31.10.2025 mennessä.

Siirtymisauditointi voidaan suorittaa minkä tahansa suunnitellun auditoinnin yhteydessä kolmen vuoden siirtymäkauden aikana, mutta se voidaan tehdä myös erityisenä siirtymisauditointina.

Toteutuksen valmistelu

Suosittelemme, että aloitat siirtymisen valmistelun mahdollisimman varhaisessa vaiheessa ja suunnittelet tarvittavat muutokset hallintajärjestelmääsi asianmukaisesti. 

Suositellut vaiheet siirtymistä varten:

  • Tutustu uuden standardin sisältöön ja vaatimuksiin. Keskity uudistetun standardin mukanaan tuomiin muutoksiin.
  • Varmista, että organisaatiosi asianomainen henkilöstö on koulutettu ja ymmärtää vaatimukset ja keskeiset muutokset.
  • Tunnistetaan puutteet, jotka on korjattava uusien vaatimusten täyttämiseksi, ja laaditaan täytäntöönpanosuunnitelma.
  • Toteuta toimet ja päivitä johtamisjärjestelmäsi vastaamaan uusia vaatimuksia.

Miten voimme auttaa?

DNV voi tukea tietoturvallisuuden hallintajärjestelmän sertifiointia ja siirtymistä, olipa kyseessä sitten ISO/IEC 27001 -sertifiointi tai uusi standardi. Maailman johtavana sertifiointilaitoksena teemme yhteistyötä pienten ja suurten yritysten kanssa niiden tietoturva- ja yksityisyydensuojatarpeissa kaikkialla maailmassa.

Jos valmistaudut siirtymään versiosta 2013 versioon 2022, voimme tukea sinua seuraavissa asioissa:

  • Koulutus, jossa tutustut uudistukseen ja saat yleiskatsauksen keskeisistä muutoksista ja siirtymäprosessista.
  • Verkkopohjaiset itsearviointityökalut ja paikan päällä tai muualla suoritettavat puutteiden arvioinnit, joiden avulla voidaan mitata, kuinka hyvin johtamisjärjestelmäsi täyttää uudet vaatimukset.
  • Siirtymisauditointi, jolla sertifiointisi siirretään standardin uuden version mukaiseksi.

Voimme tukea sinua kaikissa vaiheissa

Tutkitko ISO/IEC 27001 -sertifiointia ensimmäistä kertaa? Vieraile tietoturvallisuuden hallintajärjestelmäpalvelusivullamme ja lue lisää sen ominaisuuksista, hyödyistä ja sertifiointiin johtavasta tiestä 

Etsitkö ISO/IEC 27001 -sertifiointia ensimmäistä kertaa? Vieraile tietoturvallisuuden hallintajärjestelmäpalvelusivullamme ja tutustu tarkemmin sen ominaisuuksiin, hyötyihin ja sertifiointiin johtaviin toimenpiteisiin. 

ISO 27001:2022 muutokset -webinaari

Webinaaritallenne: ISO 27001:2022 muutokset

Webinaaritallenne: ISO 27001:2022 muutokset

Haluatko kuulla mitä muutoksia ISO 27001:2022 standardiin on tullut? Käy kuuntelemassa webinaarin tallenne! Webinaarin esittäjänä ISO 27001 auditoijamme Timppa Honkasalo.