ISO 27002:2022

Co znamená zkratka ISO 27002?

Mezinárodní norma ISO/IEC 27002 "Bezpečnost informací, kybernetická bezpečnost a ochrana dat - Opatření pro bezpečnost informací" definuje obecná bezpečnostní opatření a podporuje plnění požadavků z přílohy A normy ISO/IEC 27001. ISO 27002 je podrobným a přesným dodatkem, ale nelze ji certifikovat, protože se nejedná o normu pro řízení. Při zavádění systémů řízení bezpečnosti informací (ISMS) se proto vychází z této příručky.

Předchozí verze ISO 27002:2013 byla zveřejněna před více než devíti lety a konečný návrh mezinárodní normy (DFIS) ISO 27002 byl zveřejněn na konci roku 2021 po předchozí koordinaci v rámci normalizačních výborů ISO a četných revizích.

K jakým změnám nyní dojde?

Norma ISO 27002:2022 má v budoucnu obsahovat 93 bezpečnostních opatření (tzv. "kontrol") rozdělených do čtyř kategorií:

• organizační (37)
• personální (8)
• fyzické (14)
• technologické kontroly (34)

Každé kontrolní opatření je následně spojeno s atributy. To umožňuje standardizovaný způsob třídění nebo filtrování bezpečnostních opatření. Těmito atributy jsou:

• Typy ovládání: "Typy kontrol" je atribut, který umožňuje nahlížet na kontrolní opatření z hlediska toho, kdy a jak kontrola mění riziko s ohledem na výskyt incidentu bezpečnosti informací. Hodnoty atributů mohou být preventivní, reaktivní nebo nápravné.
• Vlastnosti bezpečnosti informací: "Vlastnosti bezpečnosti informací" jsou atributem, u něhož lze uvažovat o opatřeních podle hledisek důvěrnosti, integrity nebo dostupnosti.
• Koncepty kybernetické bezpečnosti: Atributy "konceptů kybernetické bezpečnosti" se dělí na identifikaci, ochranu, detekci, reakci a obnovu. Atributy jsou tedy definovány v rámci popsaném v ISO/IEC TS 27100.
• Provozní schopnosti
• Bezpečnostní domény

V předchozí verzi ISO 27002:2013 bylo 114 opatření rozdělených do 11 oblastí. Z nich bylo jedno opatření vypuštěno (Odstranění aktiv), zatímco ostatní opatření byla spojena do podobných témat, částečně z důvodu větší přehlednosti.

Kromě strukturální revize bylo přidáno několik kontrolních cílů, včetně oblastí, jako jsou např.

• zpravodajské informace o hrozbách
• zabezpečení informací při využívání cloudových služeb
• připravenost ICT na zajištění kontinuity provozu,
• monitorování fyzické bezpečnosti
• správa konfigurace, abychom jmenovali alespoň některé.

Zásadní strukturální změna normy ISO 27002 zároveň vyžaduje revizi normy ISO 27001, zejména její přílohy A, aby byly obě normy v souladu. Proto lze brzy očekávat novou verzi normy ISO 27001, a to ve zrychleném řízení, aby se doba odklonu obou norem co nejvíce zkrátila.

Organizace, které již zavedly ISMS podle ISO 27001, by se tedy měly seznámit s novými kontrolními cíli a zavést je po uplynutí přechodného období v délce až dvou let (od měsíce skutečného zveřejnění), jak se lze dočíst v příslušném návrhu příslušného závazného dokumentu Mezinárodního akreditačního fóra (IAF). Doporučujeme, aby organizace, které zvažují certifikaci podle ISO 27001, již tento ISMS vypracovaly podle nové struktury ISO 27002:2022.

Jsme připraveni Vás podpořit při přechodu na ISO 27002:2022!

Jako akreditovaná certifikační organizace v oblasti bezpečnosti informací se CIS od samého počátku aktivně podílí na činnosti pracovních skupin, a tím i na revizi normy. V současné době také intenzivně pracujeme na implementaci nové verze ve všech našich službách (certifikace, audity a školení).

O nadcházejících termínech vás budeme samozřejmě informovat prostřednictvím našich webových stránek a newsletteru!

Máte nějaké otázky?
Kontaktujte nás zde, těšíme se na vás!