Nowa norma ISO/IEC 27001:2022
Jakie zmiany zaszły w nowej normie ISO/IEC 27001:2022? Czy trzeba będzie wywracać cały system zarządzania bezpieczeństwem informacji do góry nogami?
ISO 27001:2022 została formalnie zatwierdzona 23 września 2022 r. Standard zostanie opublikowany nie później niż w listopadzie 2022 roku.
Warto też wspomnieć, że w lutym 2022r. zostałą opublikowana norma ISO/IEC 27002, będąca “kodeksem postępowania” dla wdrożeń systemu bezpieczeństwa informacji (SZBI, ang. ISMS) zgodnie z ISO/IEC 27001.
Co to jest norma ISO/IEC 27001?
ISO/IEC 27001 określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w kontekście organizacji. Zawiera również wymagania dotyczące oceny i postępowania z zagrożeniami bezpieczeństwa informacji dostosowane do potrzeb organizacji. Wymagania określone w ISO/IEC 27001 są ogólne i mają być stosowane we wszystkich organizacjach, niezależnie od ich typu, wielkości czy charakteru.
Norma ISO/IEC 27001 jest ściśle powiązana z normą ISO/IEC 27001, zawierającą pkatyczne wskazówki dotyczące systemu zarządzania bezpieczeństwem informacji.
Certyfikacja ISO/IEC 27001
Podobnie jak inne normy systemu zarządzania ISO, certyfikacja ISO/IEC 27001 jest możliwa, ale nie obowiązkowa. Niektóre organizacje decydują się na wdrożenie standardu, aby skorzystać z zawartych w nim najlepszych praktyk, podczas gdy inne decydują się również na uzyskanie certyfikatu, aby zapewnić klientów, że przestrzegane są jego zalecenia.
Wiele organizacji na całym świecie posiada certyfikat ISO/IEC 27001.
Zobacz też:
Wdrożenie i Audyt SZBI
Szkolenia ISO/IEC 27001
Zmiany w normie ISO/IEC 27001
Główną zmianą w wydaniu normy ISO/IEC 27001 z 2022 r. jest:
Aktualizacja załącznika A w nawiązaniu do normy ISO/IEC 27002:2022,
Uwagi do Punktu 6.1.3 c) są poprawiane redakcyjnie,
Przeorganizowanie punktu 6.1.3 d) w celu usunięcia potencjalnej niejednoznaczności;
W porównaniu z poprzednią wersją normy liczba elementów sterujących w normie ISO/IEC 27002:2022 zmniejszyła się ze 114 elementów sterujących podzielonych na 14 sekcji do 93 elementów sterujących w 4 sekcjach. Połączono 24 elementy sterujące, a 58 zaktualizowano.
Zaktualizowana norma ISO/IEC 27001 w kontekście certyfikacji systemu zarządzania bezpieczeństwem informacji wymaga na organizacjach m. in.:
- Analizy luk, a także potrzeby zmian w SZBI klienta,
- Aktualizację oświadczenia o stosowaniu (SoA),
- Aktualizację planu postępowania z ryzykiem stosownych przypadkach,
- Wdrożenie i skuteczność nowych lub zmienionych środków zapobiegawczych.
Warto wspomnieć, że wraz z nową wersją normy ISO/IEC 27002 nastąpiło przegrupowanie 14 kategorii w 4 główne tematy, co ułatwia ich odnalezienie. 4 nowe kategorie obejmują:
Osoby (8 elementów sterujących) – jeśli dotyczą pojedynczych osób, np. praca zdalna, kontrola, zachowanie poufności lub umowy o zachowaniu poufności.
Organizacyjne (37 elementów sterujących) – jeśli dotyczą organizacji, np. polityki informacyjnej, zwrot aktywów, bezpieczeństwo informacji do korzystania z usług w chmurze.
Technologiczne (34 elementów sterujących) – jeśli dotyczą technologii, takiej jak bezpieczne uwierzytelnianie, usuwanie informacji, zapobieganie wyciekom danych lub rozwój zlecony na zewnątrz.
Fizyczne (14 elementów sterujących) – jeśli dotyczą obiektów fizycznych, takich jak nośniki pamięci, konserwacja sprzętu, monitorowanie bezpieczeństwa fizycznego lub zabezpieczenie biur, pomieszczeń i obiektów.
Aktualizacje sterowania
Wszystkie elementy sterujące ISO 27002 zostały dokładnie zaktualizowane. Dzięki temu 114 elementów sterujących zostało teraz zredukowanych do 93 — z 11 nowymi, 24 połączonymi, a pozostałe 58 zaktualizowano.
11 nowych elementów to:
- Analiza zagrożeń
- Bezpieczeństwo informacji przy korzystaniu z usług w chmurze
- Gotowość teleinformatyczna do zapewnienia ciągłości działania
- Monitorowanie bezpieczeństwa fizycznego
- Działania monitorujące
- Filtrowanie sieci
- Bezpieczne kodowanie
- Zarządzanie konfiguracją
- Usuwanie informacji
- Maskowanie danych
- Zapobieganie wyciekom danych
Organizacje mogą używać atrybutów do tworzenia różnych widoków, co ułatwia kategoryzowanie elementów widzianych z innej perspektywy do 4 tematów. Atrybuty mogą służyć do filtrowania, sortowania lub prezentowania elementów w różnych widokach dla różnych odbiorców. Uwaga, użycie „atrybutów” nie jest obowiązkowe. W ISO/IEC 27002, Załącznik A wyjaśnia, jak można to osiągnąć i podaje przykłady. Przykłady obejmują:
- Rodzaje działań – zapobiegawcze, wykryte, korygujące
- Właściwości bezpieczeństwa informacji – poufność, integralność, dostępność
- Koncepcje cyberbezpieczeństwa – identyfikuj, chroń, wykrywaj, reaguj, odzyskuj
- Możliwości operacyjne – zarządzanie, zarządzanie aktywami, ochrona informacji, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne, bezpieczeństwo systemu i sieci, bezpieczeństwo aplikacji, bezpieczna konfiguracja, zarządzanie tożsamością i dostępem, zarządzanie zagrożeniami i podatnością, ciągłość, bezpieczeństwo relacji z dostawcami, prawo i zgodność, informacje zarządzanie zdarzeniami bezpieczeństwa, zapewnienie bezpieczeństwa informacji
- Domeny bezpieczeństwa – zarządzanie i ekosystem, ochrona, obrona, odporność
Organizacja może również zdefiniować własne „atrybuty” z różnymi wartościami, aby zaspokoić swoje specyficzne potrzeby.
Kiedy zaktualizować SZBI?
Już w sierpniu 2022r. Międzynarodowe Forum Akredytacji (IAF) opublikowało dokument: WYMOGI PRZEJŚCIOWE DLA ISO/IEC 27001:2022 wskazujący, że począwszy od publikacji normy ISO 27001:2022, organizacje mają 36 miesięcy na przejście.
Do tego czasu akredytowane jednostki certyfikujące muszą zacząć audyty zgodnie z nową wersją normy ISO/IEC 27001.
Na podstawie naszego doświadczenia większość organizacji zdecyduje się na migrację wdrożenia przed kolejnym audytem recertyfikującym, aby spełnić wymagania nowej normy ISO/IEC 27001:2022.
Jesteś zainteresowany zmianami w nowej normie ISO/IEC 27001?
Chcesz wdrożyć system zarządzania bezpieczństewm w swojej organizacji? Przyprowadzić AUDYT bezpieczeństwa?
Zdobyć uprawnienia Pełnomocnika, Audytora ds. SZBI?
Skontaktuj się z nami!
Bezpieczeństwo informacji – Baza wiedzy
Ocena ryzyka a bezpieczeństwo informacji 2
Tak jak poprzednio obiecałem dzisiaj przedstawię Państwu w jaki sposób przejść przez proces określania ryzyk,…
Wdrożenie podpisu elektronicznego
Kontynuacja: Metody kryptograficzneMetody kryptograficzne – podpis elektroniczny Wdrożenie w firmie podpisu elektronicznego wiąże się z…
Cyberbezpieczeństwo a bezpieczeństwo informacji. Norma ISO/IEC 27032
Coraz głośniej mówi się o Cyberbezpieczeństwie. Pricewaterhouse Coopers (PwC) w 2018 roku przeprowadziło badania wśród…
Jakie są cele cyberbezpieczeństwa?
Zabezpiecz się przed cyberatakiem
Liczba cyberataków rośnie z roku na rok. W realizacji ataku skutecznie pomagają nowe technologie i…
Norma ISO/IEC 27013
Dlaczego warto zwrócić na nią uwagę? Wielu dostawców usług IT są zainteresowane certyfikacją ISO/IEC 27001…