Ensimmäistä kertaa yhdeksään vuoteen ISO 27001, maailman johtava tietoturvastandardi, on päivitetty. Standardin lopullinen päivitys tuli 25.10.2022, vaikka ISO 27002 -standardin lista hallintakeinoista oli päivitetty jo aiemmin.
Tämä päivitys ei tuo mukanaan erityisen suuria muutoksia standardin logiikkaan, mutta on tärkeää ymmärtää tapahtuneet muutokset tarkasti. Mikä on siis muuttunut verrattaessa vuoden 2013 ja 2022 versioita ja miten nämä päivitykset näkyvät Digiturvamallissa?
Standardin pääsisältöön, eli kohtiin 4 - 10 ISO 27001 -standardissa, ei tullut merkittäviä muutoksia.
Sen sijaan ISO 27002:n tietoturvallisuuden hallintakeinot (tai liite A, jos pidät tästä viittauksesta) saivat kohtalaisia muutoksia:
11 uutta hallintkeinoa ISO 27002 ovat:
Tämän lisäksi monia hallintakeinoja yhdistettiin tässä päivityksessä. Tämä tarkoittaa, että entistä useammat kontrollit alkavat olla kooltaan melko merkittäviä ja vaativat huolella suunniteltua ja ositettua toteutusta.
Muihin hallintakeinoihin tehtiin seuraavat muutokset:
Me Digiturvamallilla olemme iloisia tästä kehityksestä. Olemme jo aiemmin nähneet, että monet hallintakeinot "paisuvat" ja samalla esimerkiksi 50% hallintakeinon sisällöstä saattaa olla jaettua muiden vastaavien vaatimuskehikkojen kanssa. Tätä kehitystä varten olemme rakentaneet standardien hallintakeinojen ja organisaation hallintajärjestelmän väliin yleisen "tehtävätason" - ISO-standardin hallintakeinot jalkautetaan tehtävinä, joilla on mm. selkeät omistajat ja todistetiedot. Tehtävät kertovat yksityiskohtaisemman kuvauksen kunkin hallintakeinon toteuttamisesta ja samalla linkittyvät suoraan myös muihin relevantteihin vaatimuskehikkoihin.
Uuden version hallintakeinot on jaettu 4 osaan. Hallintakeinot on luokiteltu seuraavasti:
Tämä jaottelu tuo hienosti esiin ne erilaiset lähestymistavat, joita organisaatiot yleensä voivat käyttää kaikenlaisten tietoturvauhkien torjuntaan – hallinnolliset, ihmislähtöiset, teknologiset ja fyysiset toimet voivat olla merkityksellisiä ja yleensä yhdistelmä tuottaa parhaat tulokset. Näin standardi varmistaa, että organisaatiot eivät esimerkiksi tarkastele ainoastaan teknisiä tapoja tietojen suojaamisen parantamiseen.
Näiden neljän pääkategorian lisäksi uusi standardi tarjoaa paljon lisäluokitteluja hallintakeinoille. Näitä luokitteluja voi käyttää apuna omassa ISMS-toteutuksessa, mikäli napakka neljän kategorian jaottelu ei miellytä.
Hallintakeinot on lisäksi luokiteltu seuraavien tekijöiden mukaan:
Viimeinen jaottelu on melko lähellä aiempia 14 kategoriaa, jotka toimivat pääjakona vuoden 2013 standardiversiossa.
Nämä luokittelut luovat myös paremman yhteensopivuuden ISO 27001 -standardista muihin suosittuihin tietoturvastandardeihin, kuten NIST CSF, CIS 18 tai CSA CCM.
Olemme juuri julkaisseet ISO 27001:2022 vaatimuskehikon Digiturvamallissa. Voit aktivoida uuden kehikon normaalisti Digiturvamallin vaatimuskehikkokirjastosta.
Sisältöjen päällekkäisyys 2013 -> 2022 versioon siirryttäessä on yli 90%. Tämä tarkoittaa, että yli 90% tehtävistä joiden kanssa olet työskennellyt vanhan version parissa ovat edelleen mukana uudessa vaatimuskehikossa - ne on vaan linkitetty uudelleen oikeisiin kohtiin. Niiden toteuttamisesta siis hyödyt automaattisesti ja vaatimuksenmukaisuus uutta kehikkoa kohden nousee. Siirryttäessä vanhasta uuteen voit siis keskittyä toteuttamaan vain uuden sisällön, eli n. 9% uudesta vaatimuskehikosta. 👍
Uusi ISO 27001:2022 vaatimuskehikko on jaoteltu 3 eri tasoon samaan tapaan kuin 2013-versio:
Päädyimme hyödyntämään vaatimustenmukaisuuden raportilla / soveltuvuuslausunnossa sekä standardin 5-8 pääluokkia että jaottelua toteutustyypin mukaan, joka on monille käyttäjille tuttu myös aiemmasta versiosta.
Nyt tämä compliance-raportti sisältää myös ISO 27001 -standardin kohdat 4-10, joten se toimii "turboahdettuna soveltuvuuslausuntona", osoittaen kuinka eri hallintakeinot on jalkautettu ja kuinka pakolliset tietoturvan johtamiseen liittyvät vaatimukset täytetään.
Parhaiten näet kaiken tämä käytännössä, kun testaat itse uutta ISO 27001:2022 vaatimuskehikkoa Digiturvamallissa. Mikäli sinulla ei vielä ole tiliä, aloita tästä ilmainen kokeilu.
Q: Olemme työskennelleet Digiturvamallissa vuoden 2013 version kanssa. Hyödynkö vanhan version parissa tehdystä työstä hypätessäni uuteen?
Todellakin! Sisältöjen päällekkäisyys 2013 -> 2022 versioon siirryttäessä on yli 90%. Tämä tarkoittaa, että yli 90% tehtävistä joiden kanssa olet työskennellyt vanhan version parissa ovat edelleen mukana uudessa vaatimuskehikossa - ne on vaan linkitetty uudelleen oikeisiin kohtiin. Niiden toteuttamisesta siis hyödyt automaattisesti ja vaatimuksenmukaisuus uutta kehikkoa kohden nousee. Siirryttäessä vanhasta uuteen voit siis keskittyä toteuttamaan vain uuden sisällön, eli n. 9% uudesta vaatimuskehikosta. 👍
Q: Olemme jo ottaneet käyttöön ISO 27001:n. Kuinka nopeasti meidän on reagoitava tähän päivitykseen?
Vuoden 2013 versiota vasten sertifioitujen organisaatioiden on siirryttävä vuoden 2022 versioon ennen 31.10.2025. Tämä tarkoittaa, että käytössä on peräti 36 kuukauden siirtymäkausi.
Q: Pysyykö vanha versio standardista saatavilla Digiturvamallissa?
Kyllä. Koko siirtymäkauden ajan sekä vuoden 2013 että 2022 versiot ISO 27001:stä ovat saatavilla vaatimuskehikkokirjastossamme.