Nowa norma ISO/IEC 27001:2022
Jakie zmiany zaszły w nowej normie ISO/IEC 27001:2022? Czy trzeba będzie wywracać cały system zarządzania bezpieczeństwem informacji do góry nogami?
ISO 27001:2022 została formalnie zatwierdzona 23 września 2022 r. Standard zostanie opublikowany nie później niż w listopadzie 2022 roku.
Warto też wspomnieć, że w lutym 2022r. zostałą opublikowana norma ISO/IEC 27002, będąca „kodeksem postępowania” dla wdrożeń systemu bezpieczeństwa informacji (SZBI, ang. ISMS) zgodnie z ISO/IEC 27001.
Co to jest norma ISO/IEC 27001?
ISO/IEC 27001 określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w kontekście organizacji. Zawiera również wymagania dotyczące oceny i postępowania z zagrożeniami bezpieczeństwa informacji dostosowane do potrzeb organizacji. Wymagania określone w ISO/IEC 27001 są ogólne i mają być stosowane we wszystkich organizacjach, niezależnie od ich typu, wielkości czy charakteru.
Norma ISO/IEC 27001 jest ściśle powiązana z normą ISO/IEC 27001, zawierającą pkatyczne wskazówki dotyczące systemu zarządzania bezpieczeństwem informacji.
Certyfikacja ISO/IEC 27001
Podobnie jak inne normy systemu zarządzania ISO, certyfikacja ISO/IEC 27001 jest możliwa, ale nie obowiązkowa. Niektóre organizacje decydują się na wdrożenie standardu, aby skorzystać z zawartych w nim najlepszych praktyk, podczas gdy inne decydują się również na uzyskanie certyfikatu, aby zapewnić klientów, że przestrzegane są jego zalecenia.
Wiele organizacji na całym świecie posiada certyfikat ISO/IEC 27001.
Zobacz też:
Wdrożenie i Audyt SZBI
Szkolenia ISO/IEC 27001
Zmiany w normie ISO/IEC 27001
Główną zmianą w wydaniu normy ISO/IEC 27001 z 2022 r. jest:
Aktualizacja załącznika A w nawiązaniu do normy ISO/IEC 27002:2022,
Uwagi do Punktu 6.1.3 c) są poprawiane redakcyjnie,
Przeorganizowanie punktu 6.1.3 d) w celu usunięcia potencjalnej niejednoznaczności;
W porównaniu z poprzednią wersją normy liczba elementów sterujących w normie ISO/IEC 27002:2022 zmniejszyła się ze 114 elementów sterujących podzielonych na 14 sekcji do 93 elementów sterujących w 4 sekcjach. Połączono 24 elementy sterujące, a 58 zaktualizowano.
Zaktualizowana norma ISO/IEC 27001 w kontekście certyfikacji systemu zarządzania bezpieczeństwem informacji wymaga na organizacjach m. in.:
- Analizy luk, a także potrzeby zmian w SZBI klienta,
- Aktualizację oświadczenia o stosowaniu (SoA),
- Aktualizację planu postępowania z ryzykiem stosownych przypadkach,
- Wdrożenie i skuteczność nowych lub zmienionych środków zapobiegawczych.
Warto wspomnieć, że wraz z nową wersją normy ISO/IEC 27002 nastąpiło przegrupowanie 14 kategorii w 4 główne tematy, co ułatwia ich odnalezienie. 4 nowe kategorie obejmują:
Osoby (8 elementów sterujących) – jeśli dotyczą pojedynczych osób, np. praca zdalna, kontrola, zachowanie poufności lub umowy o zachowaniu poufności.
Organizacyjne (37 elementów sterujących) – jeśli dotyczą organizacji, np. polityki informacyjnej, zwrot aktywów, bezpieczeństwo informacji do korzystania z usług w chmurze.
Technologiczne (34 elementów sterujących) – jeśli dotyczą technologii, takiej jak bezpieczne uwierzytelnianie, usuwanie informacji, zapobieganie wyciekom danych lub rozwój zlecony na zewnątrz.
Fizyczne (14 elementów sterujących) – jeśli dotyczą obiektów fizycznych, takich jak nośniki pamięci, konserwacja sprzętu, monitorowanie bezpieczeństwa fizycznego lub zabezpieczenie biur, pomieszczeń i obiektów.
Aktualizacje sterowania
Wszystkie elementy sterujące ISO 27002 zostały dokładnie zaktualizowane. Dzięki temu 114 elementów sterujących zostało teraz zredukowanych do 93 — z 11 nowymi, 24 połączonymi, a pozostałe 58 zaktualizowano.
11 nowych elementów to:
- Analiza zagrożeń
- Bezpieczeństwo informacji przy korzystaniu z usług w chmurze
- Gotowość teleinformatyczna do zapewnienia ciągłości działania
- Monitorowanie bezpieczeństwa fizycznego
- Działania monitorujące
- Filtrowanie sieci
- Bezpieczne kodowanie
- Zarządzanie konfiguracją
- Usuwanie informacji
- Maskowanie danych
- Zapobieganie wyciekom danych
Organizacje mogą używać atrybutów do tworzenia różnych widoków, co ułatwia kategoryzowanie elementów widzianych z innej perspektywy do 4 tematów. Atrybuty mogą służyć do filtrowania, sortowania lub prezentowania elementów w różnych widokach dla różnych odbiorców. Uwaga, użycie „atrybutów” nie jest obowiązkowe. W ISO/IEC 27002, Załącznik A wyjaśnia, jak można to osiągnąć i podaje przykłady. Przykłady obejmują:
- Rodzaje działań – zapobiegawcze, wykryte, korygujące
- Właściwości bezpieczeństwa informacji – poufność, integralność, dostępność
- Koncepcje cyberbezpieczeństwa – identyfikuj, chroń, wykrywaj, reaguj, odzyskuj
- Możliwości operacyjne – zarządzanie, zarządzanie aktywami, ochrona informacji, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne, bezpieczeństwo systemu i sieci, bezpieczeństwo aplikacji, bezpieczna konfiguracja, zarządzanie tożsamością i dostępem, zarządzanie zagrożeniami i podatnością, ciągłość, bezpieczeństwo relacji z dostawcami, prawo i zgodność, informacje zarządzanie zdarzeniami bezpieczeństwa, zapewnienie bezpieczeństwa informacji
- Domeny bezpieczeństwa – zarządzanie i ekosystem, ochrona, obrona, odporność
Organizacja może również zdefiniować własne „atrybuty” z różnymi wartościami, aby zaspokoić swoje specyficzne potrzeby.
Kiedy zaktualizować SZBI?
Już w sierpniu 2022r. Międzynarodowe Forum Akredytacji (IAF) opublikowało dokument: WYMOGI PRZEJŚCIOWE DLA ISO/IEC 27001:2022 wskazujący, że począwszy od publikacji normy ISO 27001:2022, organizacje mają 36 miesięcy na przejście.
Do tego czasu akredytowane jednostki certyfikujące muszą zacząć audyty zgodnie z nową wersją normy ISO/IEC 27001.
Na podstawie naszego doświadczenia większość organizacji zdecyduje się na migrację wdrożenia przed kolejnym audytem recertyfikującym, aby spełnić wymagania nowej normy ISO/IEC 27001:2022.
Jesteś zainteresowany zmianami w nowej normie ISO/IEC 27001?
Chcesz wdrożyć system zarządzania bezpieczństewm w swojej organizacji? Przyprowadzić AUDYT bezpieczeństwa?
Zdobyć uprawnienia Pełnomocnika, Audytora ds. SZBI?
Skontaktuj się z nami!
Bezpieczeństwo informacji – Baza wiedzy
Bezpieczeństwo danych w prywatnych i służbowych urządzeniach mobilnych cz.2
Aby odpowiedzieć na pytanie postawione w poprzednim wpisie, musimy przeanalizować w jaki sposób i czy…
Planowanie kadrowe w zarządzaniu zasobami ludzkimi. Dobre praktyki.
Planowanie zasobów ludzkich jest integralną częścią współczesnego zarządzania procesami biznesowymi. Teoria planowania zasobów ludzkich istnieje…
Od czego rozpocząć wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji?
Niejednokrotnie podczas szkoleń prowadzonych z zakresu wymagań normy PN-EN ISO/IEC 27001:2007 spotykam się z pytaniem:…
RODO – czy warto panikować?
Ochrona danych osobowych, wymagania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/67 Wydawało by się, że…
Program CyberOchrony
CyberOchrona zgodnie z: Ustawą o ochronie danych osobowych Ustawą o informatyzacji działalności podmiotów realizujących zadania…
Metody kryptograficzne – podpis elektroniczny
W nawiązaniu do artykułu zaprezentowanego kilka tygodni temu, przedstawię dzisiaj Państwu w jaki sposób kryptografia…