Новий стандарт ISO/IEC 27001:2022

Які зміни внесено до нового стандарту ISO/IEC 27001:2022? Чи ведетеся перевереветати з ніг на голову всю систему управління інформаційною безпекою?

ISO 27001:2022 був офіційно затверджений 23 вересня 2022 року. Стандарт буде опубліковано в листопаді 2022 року.
Тож варто зазначити, що у лютому 2022р. опублікував стандарт ISO/IEC 27002, який є «кодексом поведінки» для впровадження системи інформаційної безпеки (ISMS)

Як щодо ISO/IEC 27001?

ISO/IEC 27001 вимагає вимог до створення, впровадження, підтримки та постійного вдосконалення системи управління інформаційною безпекою в контексті організації. Він також містить вимоги щодо оцінки та боротьби із загрозами інформаційної безпеки, адаптовані до потрібних. Вимоги, встановлені в ISO/IEC 27001, є загальними і повинні застосовуватися до всіх організацій, незалежних від неї.
Стандарт ISO/IEC 27001 тісно пов’язаний зі стандартом iSO/IEC 27001, який надрукувати практичні рекомендації щодо будь-якого.

Сертифікація ISO/IEC 27001

Як і інші стандарти менеджменту ISO, сертифікація за ISO/IEC 27001 можлива, але не є обов’язковою. Деякі організації вирішують запровадити стандарт, щоб він був використаний передовими практиками, які містять, тоді як інші також вирішують отримати сертифікат, щоб переконатися у дотримання його рекомендацій клієнтами.
Багато організацій у всьому світі мають сертифікацію ISO/IEC 27001.

Zobacz podobne Впровадження ISO 9001 на практиці

Дивіться також: Навчання
з впровадження та аудиту СУІБ
ISO/IEC 27001

Зміна на ISO/IEC 27001

Основні зміни у виданні ISO/IEC 27001 2022 року:
Оновлення додатка A з посиланням на ISO/IEC 27002:2022,
Примітки до пункту 6.1.3 c) редаговано,
Реорганізація пункту 6.1.3 d) для усунення поточних двозначностей;

Порівняно з попередньою версією стандарту, кількість елементів керування в ISO/IEC 27002:2022 зменшилася зі 114 елементів керування, розділених на 14 розділів, до 93 елементів керування в 4 розділах. 24 елементи керування об’єднано та 58 оновлено.

Оновлений стандарт ISO/IEC 27001 у контексті сертифікації систем управління інформаційною безпекою вимагає від організацій:

Аналіз прогалин, а також необхідність змін в СУІБ клієнта,
Оновлення заяви про використання (SoA).
Оновлення плану управління ризиками, де це можливо,
Впровадження та ефективність нових або переглянутих профілактичних заходів.

Варто зазначити, що в новій версії стандарту ISO/IEC 27002 14 категорій було перегруповано в 4 основні теми, що полегшує їх пошук.

4 нові категорії включають:
Люди (8 елементів керування) – якщо вони стосуються окремих осіб, наприклад, віддалена робота, контроль, конфіденційність або угоди про конфіденційність.
Організаційні (37 контролів) – якщо вони стосуються організації, наприклад, інформаційна політика, повернення активів, інформаційна безпека для використання хмарних сервісів.
Технологічні (34 елементи керування) – якщо вони стосуються таких технологій, як безпечна автентифікація, видалення інформації, запобігання витоку даних або стороння розробка.
фізичний(14 засобів контролю) – якщо вони стосуються фізичних об’єктів, таких як носії інформації, технічне обслуговування обладнання, моніторинг фізичної безпеки або охорона офісів, приміщень і об’єктів.

Zobacz podobne Уразливості безпеки та їх розкриття. Огляд ISO/IEC 29147 та ISO/IEC 30111. Частина 1

Керуйте оновленнями

Усі елементи керування ISO 27002 були ретельно оновлені. Завдяки цьому 114 елементів керування тепер скорочено до 93: 11 нових, 24 пов’язані, а решта 58 оновлено.

11 нових елементів:

Аналіз загроз
Інформаційна безпека при використанні хмарних сервісів
Готовність ІКТ для забезпечення безперервності бізнесу
Моніторинг фізичної безпеки
Моніторингова діяльність
Веб-фільтрація
Безпечне кодування
Управління конфігурацією
Видалення інформації
Маскування даних
Запобігання витоку даних

Організації можуть використовувати атрибути для створення різних переглядів, що полегшує класифікацію елементів, які розглядаються з різних точок зору, за 4 темами. Атрибути можна використовувати для фільтрації, сортування або представлення елементів у різних поданнях різним аудиторіям. Зверніть увагу, використання “атрибутів” не є обов’язковим. У Додатку А стандарту ISO/IEC 27002 пояснюється, як цього можна досягти, і наводяться приклади.

Приклади:

Види дій – попереджувальні, виявлені, коригувальні
Властивості захисту інформації – конфіденційність, цілісність, доступність
Концепції кібербезпеки – ідентифікація, захист, виявлення, реакція, відновлення
Операційні можливості – управління, управління активами, захист інформації, безпека людських ресурсів, фізична безпека, безпека системи та мережі, безпека додатків, безпечна конфігурація, керування ідентифікацією та доступом, керування загрозами та вразливістю, безперервність, безпека взаємовідносин з постачальниками, законодавство та відповідність, інформація управління подіями безпеки, забезпечення інформаційної безпеки
Області безпеки – управління та екосистема, захист, стійкість

Zobacz podobne Яку вигоду дає маркування CE?

Організація також може визначити власні «атрибути» з різними значеннями для задоволення своїх конкретних потреб.

Коли оновлювати ISMS?

Вже в серпні 2022. Міжнародний форум з акредитації (IAF) опублікував документ: ВИМОГИ ДО ПЕРЕХОДУ НА ISO/IEC 27001:2022, у якому повністю, що з моменту публікації ISO 27001:2022 організації мають 36 місяців для переходу.
До того часу акредитовані органи сертифікації повинні розпочати аудит відповідно до нової версії ISO/IEC 27001.

Виходячи з нашого досвіду, будь-які організації вирішать перейти до наступного ресертифікаційного аудиту, щоб відповідати вимогам нового стандарту ISO/IEC 27001:2022.

Вас цікавлять зміни в новому стандарті ISO/IEC 27001?
Бажаєте запровадити систему управління безпекою у своїй організації? Провести АУДИТ безпеки?
Отримати переуповноваження, аудитор СУІБ?
Телефонуйте нам!