ISO 27001:2022 vs 2013: Hva endret seg?

Komplett sammenligningsguide for organisasjoner som går over til den nye standarden

Hjem Blogg

📋 Oversikt over endringer

ISO/IEC 27001:2022 ble publisert i oktober 2022 og erstatter 2013-versjonen. Organisasjoner sertifisert til ISO 27001:2013 har frist til oktober 2025 for å gå over til den nye standarden. Det er kritisk å forstå endringene for å planlegge overgangsstrategien din.

Viktige endringer - sammendrag

  • 93 kontroller (ned fra 114): Konsolidert for klarhet og redusert duplisering
  • 4 temaer (vs 14 domener): Organisatorisk, Mennesker, Fysisk, Teknologisk
  • 10 nye kontroller: Dekker trusselintelligens, skysikkerhet, IKT-beredskap
  • 24 kontroller slått sammen: Kombinerte overlappende krav
  • 58 kontroller oppdatert: Presisert språk og krav

🏗️ Ny kontrollstruktur

Fra 14 domener til 4 temaer

ISO 27001:2013 organiserte kontroller i 14 domener. 2022-versjonen forenkler dette til 4 temaer:

2022-struktur (4 temaer)

  • Organisatoriske kontroller (37): Policyer, roller, eiendelsforvaltning, HR-sikkerhet, leverandørstyring
  • Menneskekontroller (8): Screening, ansettelsesvilkår, bevissthet og opplæring
  • Fysiske kontroller (14): Sikre områder, utstyrssikkerhet, verktøy, avhending
  • Teknologiske kontroller (34): Autentisering, kryptografi, nettverkssikkerhet, logging

✨ 10 nye kontroller i 2022

5.7 Trusselintelligens

Organisasjoner må nå samle inn og analysere trusselintelligens som er relevant for informasjonssikkerheten.

5.23 Informasjonssikkerhet for skytjenester

Eksplisitte krav for sikker bruk, anskaffelse og forvaltning av skytjenester.

5.30 IKT-beredskap for virksomhetskontinuitet

Sikrer at IKT-systemer er forberedt på å støtte krav til virksomhetskontinuitet.

8.9 Konfigurasjonsstyring

Krever dokumentert konfigurasjonsstyring for sikkerhetskritiske systemer.

8.10 Sletting av informasjon

Sikrer at informasjon slettes på en sikker måte når den ikke lenger er nødvendig.

8.11 Datamaskering

Krever maskering av sensitive data der det er hensiktsmessig.

8.12 Forebygging av datalekkasje

Omhandler forebygging av datauttrekk og uautorisert utlevering av informasjon.

8.16 Overvåkingsaktiviteter

Formelle krav til overvåking av bruker- og systemaktiviteter.

8.23 Nettfiltrering

Krever nettfiltrering for å hindre tilgang til ondsinnet innhold.

8.28 Sikker koding

Eksplisitte krav til prinsipper for sikker koding i programvareutvikling.

🔄 Overgangsveiledning for sertifiserte organisasjoner

Tidslinje for overgang

Frist: oktober 2025

  • Oktober 2022: ISO 27001:2022 publisert
  • Oktober 2023: 1-års overgangsperiode utløper (nye revisjoner bruker 2022-versjonen)
  • Oktober 2025: 3-års overgangsperiode utløper (alle sertifikater må være i samsvar med 2022)

Overgangssteg

  1. Gap-analyse: Sammenlign eksisterende kontroller med Vedlegg A i 2022-versjonen
  2. Oppdater egenerklæring (SoA): Kartlegg 2013-kontroller mot tilsvarende i 2022
  3. Implementer nye kontroller: Innfør de 10 nye kravene
  4. Oppdater dokumentasjon: Revider styringssystemet og rutiner til å referere 2022-standarden
  5. Intern revisjon: Verifiser etterlevelse av de nye kravene
  6. Overgangsrevisjon: Sertifiseringsorgan vurderer samsvar med 2022

Vanlige utfordringer ved overgang

  • Skysikkerhetskontroller kan kreve nye leverandørvurderinger
  • Trusselintelligens krever løpende abonnement/prosesser
  • Konfigurasjonsstyring trenger automatisering
  • Forebygging av datalekkasjer kan kreve nye verktøy

💡 Praktisk råd for norske organisasjoner

Hva de fleste organisasjoner allerede har

Gode nyheter: Mange av de "nye" kontrollene formaliserer eksisterende beste praksis:

  • Trusselintelligens → Overvåker allerede CVE-er og sikkerhetsnyheter
  • Skysikkerhet → Bruker allerede AWS/Azure med noe sikkerhet
  • Konfigurasjonsstyring → Infrastructure as Code allerede på plass
  • Overvåking → SIEM eller logaggregering allerede implementert

Hva som krever arbeid

Kontroller som typisk krever ny implementering:

  • Formell trusselintelligens prosess (ikke bare ad-hoc overvåking)
  • Dokumenterte skysikkerhetsvurderinger (ikke bare bruk av skytjenester)
  • Forebygging av datalekkasje (kan kreve DLP-verktøy)
  • Sikre kodingsstandarder (formalisert SDLC-sikkerhet)

Kostnadspåvirkning

For norske SMB-er allerede sertifisert til 2013:

  • Intern innsats: 40-80 timer til gap-analyse, dokumentasjonsoppdateringer, implementering
  • Overgangsrevisjon: €2 000-€5 000 (ofte kombinert med overvåkingsrevisjon)
  • Nye verktøy: €1 000-€3 000 hvis DLP eller overvåkingsgap eksisterer

Trenger du støtte til overgangen? Kontakt Hack23 for gap-analyse og overgangsplanlegging.

📚 Ressurser