ISO 27001:2022 vs 2013: Hvad er ændret?

Komplet sammenligningsguide for organisationer i overgang til den nye standard

Hjem Blog

📋 Oversigt over ændringer

ISO/IEC 27001:2022 blev udgivet i oktober 2022 og erstatter 2013-versionen. Organisationer certificeret til ISO 27001:2013 har frist til oktober 2025 til at overgå til den nye standard. Det er kritisk at forstå ændringerne for at planlægge din overgangsstrategi.

Vigtige ændringer - resume

  • 93 kontroller (ned fra 114): Konsolideret for klarhed og reduceret duplikering
  • 4 temaer (vs 14 domæner): Organisatorisk, Mennesker, Fysisk, Teknologisk
  • 10 nye kontroller: Dækkende trusselsintelligens, cloud-sikkerhed, ICT-beredskab
  • 24 kontroller sammenlagt: Kombinerede overlappende krav
  • 58 kontroller opdateret: Præciseret sprog og krav

🏗️ Ny kontrolstruktur

Fra 14 domæner til 4 temaer

ISO 27001:2013 organiserede kontroller i 14 domæner. 2022-versionen forenkler dette til 4 temaer:

2022-struktur (4 temaer)

  • Organisatoriske kontroller (37): Politikker, roller, aktivstyring, HR-sikkerhed, leverandørstyring
  • Menneskekontroller (8): Screening, ansættelsesvilkår, bevidsthed og træning
  • Fysiske kontroller (14): Sikre områder, udstyrssikkerhed, forsyninger, bortskaffelse
  • Teknologiske kontroller (34): Autentificering, kryptografi, netværkssikkerhed, logning

✨ 10 nye kontroller i 2022

5.7 Trusselsintelligens

Organisationer skal nu indsamle og analysere trusselsinformation, der er relevant for deres informationssikkerhed.

5.23 Informationssikkerhed for cloud-tjenester

Eksplicitte krav til sikker brug, erhvervelse og styring af cloud-tjenester.

5.30 ICT-beredskab for forretningskontinuitet

Sikrer, at ICT-systemer er klar til at understøtte krav til forretningskontinuitet.

8.9 Konfigurationsstyring

Kræver dokumenteret konfigurationsstyring for sikkerhedsrelevante systemer.

8.10 Sletning af information

Sikrer, at information slettes sikkert, når den ikke længere er nødvendig.

8.11 Datamaskering

Kræver maskering af følsomme data, hvor det er relevant.

8.12 Forebyggelse af datalækage

Omhandler forebyggelse af dataeksfiltration og uautoriseret videregivelse.

8.16 Overvågningsaktiviteter

Formaliserer krav til overvågning af bruger- og systemaktiviteter.

8.23 Webfiltrering

Kræver webfiltrering for at forhindre adgang til ondsindet indhold.

8.28 Sikker kodning

Eksplicitte krav til sikre kodningsprincipper i softwareudvikling.

🔄 Overgangsvejledning for certificerede organisationer

Tidslinje for overgang

Deadline: Oktober 2025

  • Oktober 2022: ISO 27001:2022 offentliggjort
  • Oktober 2023: 1-årig overgangsperiode slutter (nye audits bruger 2022-versionen)
  • Oktober 2025: 3-årig overgangsperiode slutter (alle certifikater skal være opdateret til 2022)

Overgangstrin

  1. Gap-analyse: Sammenlign nuværende kontroller med 2022 Bilag A
  2. Opdater anvendelseserklæring: Kortlæg 2013-kontroller til 2022-ækvivalenter
  3. Implementér nye kontroller: Imødekom de 10 nye krav
  4. Opdater dokumentation: Revider politikker, så de henviser til 2022-standarden
  5. Intern audit: Verificér overholdelse af de nye krav
  6. Overgangsaudit: Certificeringsorgan vurderer overholdelse af 2022

Typiske udfordringer ved overgangen

  • Cloud-sikkerhedskontroller kan kræve nye leverandørvurderinger
  • Trusselsintelligens kræver løbende abonnementer/processer
  • Konfigurationsstyring har behov for automatisering
  • Forebyggelse af datalæk kan kræve nye værktøjer

💡 Praktisk rådgivning for danske organisationer

Hvad de fleste organisationer allerede har

Gode nyheder: Mange af de "nye" kontroller formaliserer eksisterende best practices:

  • Trusselsintelligens → Overvåger allerede CVE'er og sikkerhedsnyheder
  • Cloud-sikkerhed → Bruger allerede AWS/Azure med noget sikkerhed
  • Konfigurationsstyring → Infrastructure as Code allerede på plads
  • Overvågning → SIEM eller logaggregering allerede implementeret

Hvad der kræver arbejde

Kontroller der typisk kræver ny implementering:

  • Formel trusselsintelligensproces (ikke kun ad-hoc overvågning)
  • Dokumenterede cloud-sikkerhedsvurderinger (ikke kun brug af cloud-tjenester)
  • Forebyggelse af datalækage (kan kræve DLP-værktøjer)
  • Sikre kodningsstandarder (formaliseret SDLC-sikkerhed)

Omkostningspåvirkning

For danske SMV'er allerede certificeret til 2013:

  • Intern indsats: 40-80 timer til gap-analyse, dokumentationsopdateringer, implementering
  • Overgangsrevision: €2.000-€5.000 (ofte kombineret med overvågningsrevision)
  • Nye værktøjer: €1.000-€3.000 hvis DLP eller overvågningsgab eksisterer

Brug for overgangsstøtte? Kontakt Hack23 for gap-analyse og overgangsplanlægning.

📚 Ressourcer