ISO 27001:2022 vs 2013: Mitä muuttui?

Täydellinen vertailuopas organisaatioille, jotka siirtyvät uuteen standardiin

Koti Blogi

📋 Muutosten yleiskatsaus

ISO/IEC 27001:2022 julkaistiin lokakuussa 2022 ja korvaa vuoden 2013 version. ISO 27001:2013 -standardiin sertifioiduilla organisaatioilla on aikaa lokakuuhun 2025 asti siirtyä uuteen standardiin. Muutosten ymmärtäminen on kriittistä siirtymästrategian suunnittelulle.

Tärkeimmät muutokset - yhteenveto

  • 93 hallintakeinoa (alaspäin 114:stä): Yhdistetty selkeyden ja päällekkäisyyden vähentämiseksi
  • 4 teemaa (vs 14 toimialuetta): Organisaatio, Ihmiset, Fyysinen, Teknologinen
  • 10 uutta hallintakeinoa: Uhkatiedustelu, pilviturvallisuus, ICT-valmius
  • 24 hallintakeinoa yhdistetty: Yhdistetyt päällekkäiset vaatimukset
  • 58 hallintakeinoa päivitetty: Selvennetty kieli ja vaatimukset

🏗️ Uusi hallintakeino rakenne

14 toimialueesta 4 teemaan

ISO 27001:2013 järjesti hallintakeinot 14 toimialueeseen. Vuoden 2022 versio yksinkertaistaa tämän 4 teemaan:

2022 rakenne (4 teemaa)

  • Organisaatiohallintakeinot (37): Käytännöt, roolit, omaisuudenhallinta, henkilöstöturvallisuus, toimittajahallinta
  • Ihmishallintakeinot (8): Seulonta, työehdot, tietoisuus ja koulutus
  • Fyysiset hallintakeinot (14): Turvalliset alueet, laiteturvallisuus, käyttöpalvelut, hävittäminen
  • Teknologiset hallintakeinot (34): Todennus, kryptografia, verkkoturvallisuus, lokiinkirjaus

✨ 10 uutta hallintakeinoa vuonna 2022

5.7 Uhkatiedustelu

Organisaatioiden tulee nyt kerätä ja analysoida tietoturvaan liittyvää uhkatiedustelua.

5.23 Tietoturva pilvipalveluille

Selkeät vaatimukset pilvipalvelujen turvalliselle käytölle, hankinnalle ja hallinnalle.

5.30 ICT-valmius liiketoiminnan jatkuvuuteen

Varmistaa, että ICT-järjestelmät tukevat liiketoiminnan jatkuvuuden vaatimuksia.

8.9 Konfiguraation hallinta

Edellyttää dokumentoitua konfiguraation hallintaa tietoturvakriittisille järjestelmille.

8.10 Tiedon poisto

Varmistaa, että tiedot poistetaan turvallisesti, kun niitä ei enää tarvita.

8.11 Tietojen peittäminen (masking)

Edellyttää arkaluonteisten tietojen peittämistä tarpeen mukaan.

8.12 Tietovuotojen estäminen

Käsittelee tietojen luvattoman siirron ja paljastumisen estämistä.

8.16 Toiminnan valvonta

Virallistaa vaatimukset käyttäjien ja järjestelmien toiminnan valvonnalle.

8.23 Verkkosuodatus

Edellyttää verkkosuodatusta haitallisen sisällön käytön estämiseksi.

8.28 Turvallinen koodaus

Selkeät vaatimukset turvallisen koodauksen periaatteille ohjelmistokehityksessä.

🔄 Siirtymäohje sertifioiduille organisaatioille

Siirtymäaikataulu

Takaraja: lokakuu 2025

  • Lokakuu 2022: ISO 27001:2022 julkaistu
  • Lokakuu 2023: 1 vuoden siirtymäaika päättyy (uudet auditoinnit käyttävät 2022-versiota)
  • Lokakuu 2025: 3 vuoden siirtymäaika päättyy (kaikkien sertifikaattien tulee olla 2022-yhteensopivia)

Siirtymävaiheet

  1. Vajeanalyysi: Vertaa nykyisiä hallintakeinoja vuoden 2022 liitteeseen A
  2. Soveltuvuuslausunnon päivitys: Yhdistä vuoden 2013 hallintakeinot vuoden 2022 vastineisiin
  3. Uusien hallintakeinojen käyttöönotto: Toteuta 10 uutta vaatimusta
  4. Dokumentaation päivitys: Päivitä politiikat viittaamaan vuoden 2022 standardiin
  5. Sisäinen auditointi: Varmista vaatimustenmukaisuus uusien vaatimusten osalta
  6. Siirtymäauditointi: Sertifiointielin arvioi vuoden 2022 vaatimusten täyttymisen

Yleisiä siirtymähaasteita

  • Pilviturvallisuushallintakeinot voivat vaatia uusia toimittaja-arviointeja
  • Uhkatiedustelu edellyttää jatkuvia tilauksia/prosesseja
  • Konfiguraationhallinta vaatii automaatiota
  • Tietovuotosuojaus voi edellyttää uusia työkaluja

💡 Käytännön neuvoja suomalaisille organisaatioille

Mitä useimmilla organisaatioilla on jo

Hyviä uutisia: Monet "uusista" hallintakeinoista virallistavat olemassa olevat parhaat käytännöt:

  • Uhkatiedustelu → Seuraa jo CVE:itä ja turvallisuusuutisia
  • Pilviturvallisuus → Käyttää jo AWS/Azurea jonkin verran turvallisuudella
  • Konfiguraatiohallinta → Infrastructure as Code jo käytössä
  • Seuranta → SIEM tai lokien aggregointi jo käytössä

Mitä vaatii työtä

Hallintakeinot, jotka tyypillisesti vaativat uutta toteutusta:

  • Muodollinen uhkatiedusteluprosessi (ei vain ad-hoc seurantaa)
  • Dokumentoidut pilviturvallisuusarvioinnit (ei vain pilvipalvelujen käyttöä)
  • Tietojen vuotamisen estäminen (voi vaatia DLP-työkaluja)
  • Turvalliset koodausstandardit (virallistettu SDLC-turvallisuus)

Kustannusvaikutus

Suomalaisille pk-yrityksille, jotka on jo sertifioitu vuoden 2013 standardiin:

  • Sisäinen työ: 40-80 tuntia puuteanalyysiin, dokumentointipäivityksiin, toteutukseen
  • Siirtymäauditointi: 2 000-5 000 € (usein yhdistetty valvonta-auditointiin)
  • Uudet työkalut: 1 000-3 000 € jos DLP tai seurantapuutteita on

Tarvitsetko tukea siirtymään? Ota yhteyttä Hack23:een puuteanalyysia ja siirtymäsuunnittelua varten.

📚 Resurssit