ISO 27001:2013 och ISO 27001:2017 vad är skillnaden?

Skillnaden i ISO 27001-versioner

IRent praktiskt har väldigt lite förändrats mellan 2013 och 2017 ISO 27001 standarder förutom några smärre kosmetiska punkter och en liten namnbyte.

Den senaste publicerade versionen av ISMS-standarden är – BS EN ISO/IEC 27001:2017.

Smakämnen ISO versionen av standarden (2013) påverkades inte av 2017 års publicering och ändringarna returnera inte införa eventuella nya krav.

För dig som söker en UKAS ackrediterat ISO 27001-certifiering, UKAS ackrediterar till ISO-standarden så det finns inga ändringar som påverkar din certifieringsstatus och därför införs inga ytterligare övergångsaktiviteter genom denna översyn.

Ändringen från 2017 infördes för att indikera godkännande av CEN/CENELEC för EN-beteckningen ("europeisk standard").

Den uppdaterade BS innehåller dock två tidigare utfärdade korrigeringar/ändringar till ISO 27001:2013, specifikt i klausul 6.1.3 och bilaga A klausul 8.1.

Låt oss ta en titt på vad dessa Corrigenda täckte:

Rättelse 1: ISO/IEC 27001:2013/Cor.1:2014(sv) – publicerad 2014

A.8.1.1 (Inventering av tillgångar), ersätter kontrollens måltext från:

"Tillgångar associerade med informations- och informationsbehandlingsanläggningar ska identifieras och en inventering av dessa tillgångar ska upprättas och underhållas."

till:

”Information, andra tillgångar kopplade till information och informationsbehandlingsanläggningar ska identifieras och en inventering av dessa tillgångar ska upprättas och underhållas.”

Förändringen gjorde det tydligt informationen i sig måste också betraktas som en tillgång och ingå i inventeringen.

För dem som använder ISMS.online, de vägledningar som finns i Underklausul A.8.1.1, tillsammans med vår ISO 27001 virtuell coach, beakta detta fullt ut.

Till skillnad från några av de äldre verktygen på marknaden, ISMS.online använder en informationstillgångsbaserad strategi för riskhantering så du kan vara säker på att detta viktiga ändringsförslag har åtgärdats.

Läs mer om Hur man utvecklar en tillgångsinventering.

Klicka för att se en större bild av hur vi använder ISMS.online-plattformen för ISO 27001

Rättelse 2: ISO/IEC 27001:2013/Cor.2:2015(sv) – publicerad 1-12-2015

Detta innebar ändringar av underklausul. 6.1.3 (Riskbehandling för informationssäkerhet), och specifikt till punkt d), om Statement of Applicability (SoA). Det var bara en kosmetisk justering, som separerade det nödvändiga innehållet för en SoA från huvudstycket i separerade punkter, vilket gjorde det tydligare att en SoA måste innehålla minst fyra element:

• Nödvändiga kontroller för att implementera behandling av informationssäkerhetsrisker, inte bara med tanke på de i bilaga A utan även kontroller designade av organisationen efter behov, såväl som andra identifierade från valfri källa (t.ex. kontroller från NIST SP 800-serien av dokument)

• Motivering för att inkludera dessa kontroller

• Kontrollernas status (t.ex. implementerad eller inte)

• Motiveringen för att utesluta någon av Bilaga A kontroller

ISO 27001 Statement of Applicability anses ofta vara en av de mer betungande uppgifterna i standarden, både att skapa och hålla uppdaterad. Du kan läsa vår artikel, Tillämplighetsförklaring förenklat att lära sig mer.

Klicka för att se en större bild av hur vi underhåller vår Förklaring om tillämplighet i ISMS.online-plattformen

Hur man tacklar förändringarna

/software-features/With ISMS.online, korrigeringsobjekten har införlivats, både när det gäller vägledning och verktyg du kommer att använda för att snabba upp din ISO 27001-implementering och minska den pågående hanteringstiden för ditt ISMS.