ISO/IEC 27001:2022-standardin tuomat muutokset organisaatiossa

Abstract

International Organization for Standardisation (ISO) ja International Electrotechnical Commission (IEC) ovat yhdessä julkaisseet ISO/IEC 27001-standardin uuden version 25. lokakuuta 2022. ISO/IEC 27001:2022 standardi auttaa organisaatioita tiedostamaan, tunnistamaan ja hallitsemaan riskejä ennakoivasti tietoturvallisuuden hallintajärjestelmän muodossa.

Opinnäytetyö käsittelee standardin keskeisimpiä muutoksia vuoden 2013 versioon verrattuna. Standardin muutoksia käsitellään ISO27001-sertifioituneen yrityksen näkökulmasta. Opinnäytetyössä esitellään standardin keskeisimmät muutokset, jotka sertifioituneiden yritysten tulisi ottaa huomioon ennen uutta auditointia. Tavoitteena opinnäytetyössä oli luoda avustava työkalu toimeksiantajalle muutoksen tueksi. Osana opinnäytetyötä kartoitettiin kyselyn avulla ISO 27001-sertifioitujen yritysten ja organisaatioiden valmiuksia ja asenteita kyseisen standardin uudistuksiin sekä uudelleensertifiointiin.

Standardin keskeisimmät muutokset ovat standardin liite A:n kontrolleissa. Muutoksia on tapahtunut myös standardin vaatimuksissa. Muutoksista monet ovat kielellisiä sana- ja lauserakenteiden muutoksia, sisällön yhtenäistämistä ja selkeämpää linjausta.

Kyselyn perusteella suurin osa vastanneista organisaatioista on jo aloittanut muutostyöt uudelleensertifiointia varten. Vastausten perusteella organisaatiot näkevät suurimpina haasteina muutostyössä resurssien saatavuuden, tietoturvallisuuden hallintajärjestelmän dokumentaation ja muutoksiin perehtymisen, johon tällä opinnäytetyöllä on tarkoitus vastata.

Opinnäytetyön tavoitteena oli perehtyä muutoksiin ja muodostaa yhteenveto keskeisistä muutoksista. Lopputuloksena opinnäytetyössä luotiin toimeksiantajalle aputyökalu tietoturvallisuuden hallintajärjestelmän dokumentaation ja keskeisten muutoksien hallintaan. Opinnäytetyön tavoite saavutettiin ja sen tulokset esitellään tässä raportissa.

The International Organisation for Standardisation (ISO) and International Electrotechnical Commission (IEC) jointly published a new version of ISO/IEC 27001 on 25 October 2022. ISO and IEC develop international standards in various areas, including information security and data processing. ISO/IEC 27001:2022 helps organisations proactively identify, recognize, and manage risks in an information security management system.

This thesis focused on key changes in the standard compared to the previous version. The changes from the 2013 version will be examined from the perspective of an organisation that is already ISO 27001 certified, highlighting considerations before undergoing a new audit. The objective was to create a supportive tool to assist the client in managing the transition. As part of the thesis, the capacity and attitudes of ISO 27001-certified companies and organisations were mapped to the revisions and recertification of that standard.

The main changes to the standard are in the Annex A's controls, along with changes in the requirements. Many changes involve linguistic structures, harmonisation, and clearer alignment.

According to the survey findings, organisations have initiated recertification. Challenges identified include resource availability, documentation of the IT security management system, and comprehensive examination of the changes addressed in this thesis.