Opdatering af sikkerhedsstandarden ISO 27001: Statslige myndigheder skal implementere den nye version

Den internationale sikkerhedsstandard ISO 27001 er blevet opdateret. De statslige myndigheder har nu en overgangsperiode på halvandet år med deadline d. 1. april 2025 til at implementere den nye version.

Siden 2016 har alle danske myndigheder skullet implementere ledelsesstyring af informationssikkerhed efter den internationale sikkerhedsstandard ISO 27001. Opdateringerne i den nye version af ISO 27001 omfatter anneks A, der omhandler foranstaltninger til informationssikkerhed, hvor de 14 kapitler er omstruktureret til fire hovedområder. Den nye struktur betyder, at en del af foranstaltningerne (tidligere kontroller) sammenlægges, så det samlede antal foranstaltninger går fra 114 til 93, hvoraf 11 foranstaltninger er nye.

Overgangsperiode på 1,5 år

Fra frigivelsen i september 2023 har alle statslige myndigheder 1,5 år til at implementere den nye version af ISO 27001. Arbejdet med implementering af den nye standard indbefatter bl.a., at:

• sikkerhedsudvalget tager stilling til, om opdateringerne ændrer ved organisationens risikobillede.
• SOA-dokumentet opdateres, og nye foranstaltninger til- eller fravælges.
• nye tilvalgte foranstaltninger beskrives og dokumenteres.
• interne politikker, procedurer og vejledninger opdateres.
• dialog med leverandører igangsættes om ændringer af eksisterende kontraktuelle forhold, databehandleraftaler og tilhørende driftsprocesser i forhold til den nye i ISO 27001.

Der kan være særlige forhold i relation til leverandører eller certificeringer, der gør, at deadline på nogle områder må fraviges.

Myndighederne opfordres allerede nu til at påbegynde arbejdet med den opdaterede struktur og de nye foranstaltninger.

Den nye version af ISO 27001 og ISO 27002 er frikøbt til statslige myndigheder, organisationer og institutioner, som fremgår af finansloven og statsregnskabet samt virksomheder, hvor staten ejer aktiemajoriteten. De pågældende myndigheder kan bestille og rekvirere den nye version af ISO 27001 ved at kontakte .

Sammenhæng mellem ISO 27001 og ISO 27002

Standarden ISO 27001 er en overordnet standard for styring af informationssikkerhed. ISO 27002 er en vejledning i den liste af foranstaltninger, der findes i anneks A i ISO 27001. Dermed er ISO 27002 et vigtigt værktøj i arbejdet med ISO 27001. Opdateringen af ISO 27001 sker alene for at ajourføre anneks A med opdateringerne i ISO 27002.