Nowa norma ISO/IEC 27001

Nowa norma ISO/IEC 27001:2022

Jakie zmiany zaszły w nowej normie ISO/IEC 27001:2022? Czy trzeba będzie wywracać cały system zarządzania bezpieczeństwem informacji do góry nogami?

ISO 27001:2022 została formalnie zatwierdzona 23 września 2022 r. Standard zostanie opublikowany nie później niż w listopadzie 2022 roku.
Warto też wspomnieć, że w lutym 2022r. zostałą opublikowana norma ISO/IEC 27002, będąca “kodeksem postępowania” dla wdrożeń systemu bezpieczeństwa informacji (SZBI, ang. ISMS) zgodnie z ISO/IEC 27001.

Co to jest norma ISO/IEC 27001?

ISO/IEC 27001 określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w kontekście organizacji. Zawiera również wymagania dotyczące oceny i postępowania z zagrożeniami bezpieczeństwa informacji dostosowane do potrzeb organizacji. Wymagania określone w ISO/IEC 27001 są ogólne i mają być stosowane we wszystkich organizacjach, niezależnie od ich typu, wielkości czy charakteru.
Norma ISO/IEC 27001 jest ściśle powiązana z normą ISO/IEC 27001, zawierającą pkatyczne wskazówki dotyczące systemu zarządzania bezpieczeństwem informacji.

Certyfikacja ISO/IEC 27001

Podobnie jak inne normy systemu zarządzania ISO, certyfikacja ISO/IEC 27001 jest możliwa, ale nie obowiązkowa. Niektóre organizacje decydują się na wdrożenie standardu, aby skorzystać z zawartych w nim najlepszych praktyk, podczas gdy inne decydują się również na uzyskanie certyfikatu, aby zapewnić klientów, że przestrzegane są jego zalecenia.
Wiele organizacji na całym świecie posiada certyfikat ISO/IEC 27001.

Zobacz też:
Wdrożenie i Audyt SZBI
Szkolenia ISO/IEC 27001

Zmiany w normie ISO/IEC 27001

Główną zmianą w wydaniu normy ISO/IEC 27001 z 2022 r. jest:
Aktualizacja załącznika A w nawiązaniu do normy ISO/IEC 27002:2022,
Uwagi do Punktu 6.1.3 c) są poprawiane redakcyjnie,
Przeorganizowanie punktu 6.1.3 d) w celu usunięcia potencjalnej niejednoznaczności;

Zobacz podobne  Certyfikat ISO 9001 - czy warto wdrożyć system zarządzania jakością?

W porównaniu z poprzednią wersją normy liczba elementów sterujących w normie ISO/IEC 27002:2022 zmniejszyła się ze 114 elementów sterujących podzielonych na 14 sekcji do 93 elementów sterujących w 4 sekcjach. Połączono 24 elementy sterujące, a 58 zaktualizowano.

Zaktualizowana norma ISO/IEC 27001 w kontekście certyfikacji systemu zarządzania bezpieczeństwem informacji wymaga na organizacjach m. in.:

  • Analizy luk, a także potrzeby zmian w SZBI klienta,
  • Aktualizację oświadczenia o stosowaniu (SoA),
  • Aktualizację planu postępowania z ryzykiem stosownych przypadkach,
  • Wdrożenie i skuteczność nowych lub zmienionych środków zapobiegawczych.

Warto wspomnieć, że wraz z nową wersją normy ISO/IEC 27002 nastąpiło przegrupowanie 14 kategorii w 4 główne tematy, co ułatwia ich odnalezienie. 4 nowe kategorie obejmują:
Osoby (8 elementów sterujących) – jeśli dotyczą pojedynczych osób, np. praca zdalna, kontrola, zachowanie poufności lub umowy o zachowaniu poufności.
Organizacyjne (37 elementów sterujących) – jeśli dotyczą organizacji, np. polityki informacyjnej, zwrot aktywów, bezpieczeństwo informacji do korzystania z usług w chmurze.
Technologiczne (34 elementów sterujących) – jeśli dotyczą technologii, takiej jak bezpieczne uwierzytelnianie, usuwanie informacji, zapobieganie wyciekom danych lub rozwój zlecony na zewnątrz.
Fizyczne (14 elementów sterujących) – jeśli dotyczą obiektów fizycznych, takich jak nośniki pamięci, konserwacja sprzętu, monitorowanie bezpieczeństwa fizycznego lub zabezpieczenie biur, pomieszczeń i obiektów.

Aktualizacje sterowania

Wszystkie elementy sterujące ISO 27002 zostały dokładnie zaktualizowane. Dzięki temu 114 elementów sterujących zostało teraz zredukowanych do 93 — z 11 nowymi, 24 połączonymi, a pozostałe 58 zaktualizowano.

Zobacz podobne  Ile certyfikatów ISO wydano?

11 nowych elementów to:

  • Analiza zagrożeń
  • Bezpieczeństwo informacji przy korzystaniu z usług w chmurze
  • Gotowość teleinformatyczna do zapewnienia ciągłości działania
  • Monitorowanie bezpieczeństwa fizycznego
  • Działania monitorujące
  • Filtrowanie sieci
  • Bezpieczne kodowanie
  • Zarządzanie konfiguracją
  • Usuwanie informacji
  • Maskowanie danych
  • Zapobieganie wyciekom danych

Organizacje mogą używać atrybutów do tworzenia różnych widoków, co ułatwia kategoryzowanie elementów widzianych z innej perspektywy do 4 tematów. Atrybuty mogą służyć do filtrowania, sortowania lub prezentowania elementów w różnych widokach dla różnych odbiorców. Uwaga, użycie „atrybutów” nie jest obowiązkowe. W ISO/IEC 27002, Załącznik A wyjaśnia, jak można to osiągnąć i podaje przykłady. Przykłady obejmują:

  • Rodzaje działań – zapobiegawcze, wykryte, korygujące
  • Właściwości bezpieczeństwa informacji – poufność, integralność, dostępność
  • Koncepcje cyberbezpieczeństwa – identyfikuj, chroń, wykrywaj, reaguj, odzyskuj
  • Możliwości operacyjne – zarządzanie, zarządzanie aktywami, ochrona informacji, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne, bezpieczeństwo systemu i sieci, bezpieczeństwo aplikacji, bezpieczna konfiguracja, zarządzanie tożsamością i dostępem, zarządzanie zagrożeniami i podatnością, ciągłość, bezpieczeństwo relacji z dostawcami, prawo i zgodność, informacje zarządzanie zdarzeniami bezpieczeństwa, zapewnienie bezpieczeństwa informacji
  • Domeny bezpieczeństwa – zarządzanie i ekosystem, ochrona, obrona, odporność

Organizacja może również zdefiniować własne „atrybuty” z różnymi wartościami, aby zaspokoić swoje specyficzne potrzeby.

Kiedy zaktualizować SZBI?

Już w sierpniu 2022r. Międzynarodowe Forum Akredytacji (IAF) opublikowało dokument: WYMOGI PRZEJŚCIOWE DLA ISO/IEC 27001:2022 wskazujący, że począwszy od publikacji normy ISO 27001:2022, organizacje mają 36 miesięcy na przejście.
Do tego czasu akredytowane jednostki certyfikujące muszą zacząć audyty zgodnie z nową wersją normy ISO/IEC 27001.

Zobacz podobne  Cyberbezpieczeństwo - Jak spełnić wymagania dyrektyw UE?

Na podstawie naszego doświadczenia większość organizacji zdecyduje się na migrację wdrożenia przed kolejnym audytem recertyfikującym, ​​aby spełnić wymagania nowej normy ISO/IEC 27001:2022.

Jesteś zainteresowany zmianami w nowej normie ISO/IEC 27001?
Chcesz wdrożyć system zarządzania bezpieczństewm w swojej organizacji? Przyprowadzić AUDYT bezpieczeństwa?
Zdobyć uprawnienia Pełnomocnika, Audytora ds. SZBI?
Skontaktuj się z nami!

Bezpieczeństwo informacji – Baza wiedzy

Standardy SOC

Standardy SOC (Standard Organization Control)i ich wymagania opisane są na stronie European Union Agency for Network and…

więcej
Scroll to Top