02. Čvn 2022

Hlavní změny nového vydání normy

ISO 27002:2022

Norma ISO 27002:2022 byla revidována a zveřejněna v polovině února. Shrnuli jsme pro vás zásadní změny a novinky.

Co znamená zkratka ISO 27002?

Mezinárodní norma ISO/IEC 27002 "Bezpečnost informací, kybernetická bezpečnost a ochrana dat - Opatření pro bezpečnost informací" definuje obecná bezpečnostní opatření a podporuje plnění požadavků z přílohy A normy ISO/IEC 27001. ISO 27002 je podrobným a přesným dodatkem, ale nelze ji certifikovat, protože se nejedná o normu pro řízení. Při zavádění systémů řízení bezpečnosti informací (ISMS) se proto vychází z této příručky.

Předchozí verze ISO 27002:2013 byla zveřejněna před více než devíti lety a konečný návrh mezinárodní normy (DFIS) ISO 27002 byl zveřejněn na konci roku 2021 po předchozí koordinaci v rámci normalizačních výborů ISO a četných revizích.

K jakým změnám nyní dojde?

Norma ISO 27002:2022 má v budoucnu obsahovat 93 bezpečnostních opatření (tzv. "kontrol") rozdělených do čtyř kategorií:

  • organizační (37)
  • personální (8)
  • fyzické (14)
  • technologické kontroly (34)

Každé kontrolní opatření je následně spojeno s atributy. To umožňuje standardizovaný způsob třídění nebo filtrování bezpečnostních opatření. Těmito atributy jsou:

  • Typy ovládání: "Typy kontrol" je atribut, který umožňuje nahlížet na kontrolní opatření z hlediska toho, kdy a jak kontrola mění riziko s ohledem na výskyt incidentu bezpečnosti informací. Hodnoty atributů mohou být preventivní, reaktivní nebo nápravné.
  • Vlastnosti bezpečnosti informací: "Vlastnosti bezpečnosti informací" jsou atributem, u něhož lze uvažovat o opatřeních podle hledisek důvěrnosti, integrity nebo dostupnosti.
  • Koncepty kybernetické bezpečnosti: Atributy "konceptů kybernetické bezpečnosti" se dělí na identifikaci, ochranu, detekci, reakci a obnovu. Atributy jsou tedy definovány v rámci popsaném v ISO/IEC TS 27100.
  • Provozní schopnosti
  • Bezpečnostní domény

V předchozí verzi ISO 27002:2013 bylo 114 opatření rozdělených do 11 oblastí. Z nich bylo jedno opatření vypuštěno (Odstranění aktiv), zatímco ostatní opatření byla spojena do podobných témat, částečně z důvodu větší přehlednosti.

Kromě strukturální revize bylo přidáno několik kontrolních cílů, včetně oblastí, jako jsou např.

  • zpravodajské informace o hrozbách
  • zabezpečení informací při využívání cloudových služeb
  • připravenost ICT na zajištění kontinuity provozu,
  • monitorování fyzické bezpečnosti
  • správa konfigurace, abychom jmenovali alespoň některé.

Zásadní strukturální změna normy ISO 27002 zároveň vyžaduje revizi normy ISO 27001, zejména její přílohy A, aby byly obě normy v souladu. Proto lze brzy očekávat novou verzi normy ISO 27001, a to ve zrychleném řízení, aby se doba odklonu obou norem co nejvíce zkrátila.

Organizace, které již zavedly ISMS podle ISO 27001, by se tedy měly seznámit s novými kontrolními cíli a zavést je po uplynutí přechodného období v délce až dvou let (od měsíce skutečného zveřejnění), jak se lze dočíst v příslušném návrhu příslušného závazného dokumentu Mezinárodního akreditačního fóra (IAF). Doporučujeme, aby organizace, které zvažují certifikaci podle ISO 27001, již tento ISMS vypracovaly podle nové struktury ISO 27002:2022.

Jsme připraveni Vás podpořit při přechodu na ISO 27002:2022!

Jako akreditovaná certifikační organizace v oblasti bezpečnosti informací se CIS od samého počátku aktivně podílí na činnosti pracovních skupin, a tím i na revizi normy. V současné době také intenzivně pracujeme na implementaci nové verze ve všech našich službách (certifikace, audity a školení).

O nadcházejících termínech vás budeme samozřejmě informovat prostřednictvím našich webových stránek a newsletteru!

Máte nějaké otázky?
Kontaktujte nás zde, těšíme se na vás!

Nezapomeňte si do svých diářů poznamenat datum 6. 6. 2022 - ve spolupráci s naší partnerskou organizací Quality Austria pro Vás náš lektor Ing. M. Kisela, Ph.D. připravil hodinový online WORKSHOP ZDARMA, ve kterém Vás provede těmi nejpodstatnějšími změnami nového vydání normy ISO 27002. 

 

19. Dub 2023

New Work – potenciál, příležitost

Nové příležitosti, nový potenciál

17. Úno 2023

Den za bezpečnější internet

Safer Internet Day

10. Úno 2023

Nové vedení CIS GmbH

Změny v managementu od 01. 01. 2023

31. Led 2023

Mezinárodní den ochrany osobních údajů

26. Led 2023

Online kurz – Implementace změn ISO 27002:2022

Implementace změn a nových požadavků

10. Lis 2022

Revize norem ISO 27001 a ISO 27002:2022

Co přichází, co odchází a co zůstává?

23. Zář 2022

CIS Compliance Summit 2022

Jaký byl ročník 2022

14. Zář 2022

Zpráva o globálních hrozbách 2022 z oblasti kybernetických útoků

Co by Vám nemělo uniknout!

20. Srp 2022

ISO/IEC 27001:2022 – co je nového?

24. Kvě 2022

Minimalizace rizik pro cloudové služby

certifikace ISO 27017

11. Kvě 2022

Bezpečnost a kvalita

Nejvyšší ohodnocení za integraci 27001 / 9001

14. Dub 2022

Nový komplexní pohled na firmu

Integrace ISO 27001 v Siemens IT Solutions & Services

+420 733 180 494