Hlavní změny nového vydání normy
ISO 27002:2022
Norma ISO 27002:2022 byla revidována a zveřejněna v polovině února. Shrnuli jsme pro vás zásadní změny a novinky.
Co znamená zkratka ISO 27002?
Mezinárodní norma ISO/IEC 27002 "Bezpečnost informací, kybernetická bezpečnost a ochrana dat - Opatření pro bezpečnost informací" definuje obecná bezpečnostní opatření a podporuje plnění požadavků z přílohy A normy ISO/IEC 27001. ISO 27002 je podrobným a přesným dodatkem, ale nelze ji certifikovat, protože se nejedná o normu pro řízení. Při zavádění systémů řízení bezpečnosti informací (ISMS) se proto vychází z této příručky.
Předchozí verze ISO 27002:2013 byla zveřejněna před více než devíti lety a konečný návrh mezinárodní normy (DFIS) ISO 27002 byl zveřejněn na konci roku 2021 po předchozí koordinaci v rámci normalizačních výborů ISO a četných revizích.
K jakým změnám nyní dojde?
Norma ISO 27002:2022 má v budoucnu obsahovat 93 bezpečnostních opatření (tzv. "kontrol") rozdělených do čtyř kategorií:
- organizační (37)
- personální (8)
- fyzické (14)
- technologické kontroly (34)
Každé kontrolní opatření je následně spojeno s atributy. To umožňuje standardizovaný způsob třídění nebo filtrování bezpečnostních opatření. Těmito atributy jsou:
- Typy ovládání: "Typy kontrol" je atribut, který umožňuje nahlížet na kontrolní opatření z hlediska toho, kdy a jak kontrola mění riziko s ohledem na výskyt incidentu bezpečnosti informací. Hodnoty atributů mohou být preventivní, reaktivní nebo nápravné.
- Vlastnosti bezpečnosti informací: "Vlastnosti bezpečnosti informací" jsou atributem, u něhož lze uvažovat o opatřeních podle hledisek důvěrnosti, integrity nebo dostupnosti.
- Koncepty kybernetické bezpečnosti: Atributy "konceptů kybernetické bezpečnosti" se dělí na identifikaci, ochranu, detekci, reakci a obnovu. Atributy jsou tedy definovány v rámci popsaném v ISO/IEC TS 27100.
- Provozní schopnosti
- Bezpečnostní domény
V předchozí verzi ISO 27002:2013 bylo 114 opatření rozdělených do 11 oblastí. Z nich bylo jedno opatření vypuštěno (Odstranění aktiv), zatímco ostatní opatření byla spojena do podobných témat, částečně z důvodu větší přehlednosti.
Kromě strukturální revize bylo přidáno několik kontrolních cílů, včetně oblastí, jako jsou např.
- zpravodajské informace o hrozbách
- zabezpečení informací při využívání cloudových služeb
- připravenost ICT na zajištění kontinuity provozu,
- monitorování fyzické bezpečnosti
- správa konfigurace, abychom jmenovali alespoň některé.
Zásadní strukturální změna normy ISO 27002 zároveň vyžaduje revizi normy ISO 27001, zejména její přílohy A, aby byly obě normy v souladu. Proto lze brzy očekávat novou verzi normy ISO 27001, a to ve zrychleném řízení, aby se doba odklonu obou norem co nejvíce zkrátila.
Organizace, které již zavedly ISMS podle ISO 27001, by se tedy měly seznámit s novými kontrolními cíli a zavést je po uplynutí přechodného období v délce až dvou let (od měsíce skutečného zveřejnění), jak se lze dočíst v příslušném návrhu příslušného závazného dokumentu Mezinárodního akreditačního fóra (IAF). Doporučujeme, aby organizace, které zvažují certifikaci podle ISO 27001, již tento ISMS vypracovaly podle nové struktury ISO 27002:2022.
Jsme připraveni Vás podpořit při přechodu na ISO 27002:2022!
Jako akreditovaná certifikační organizace v oblasti bezpečnosti informací se CIS od samého počátku aktivně podílí na činnosti pracovních skupin, a tím i na revizi normy. V současné době také intenzivně pracujeme na implementaci nové verze ve všech našich službách (certifikace, audity a školení).
O nadcházejících termínech vás budeme samozřejmě informovat prostřednictvím našich webových stránek a newsletteru!
Máte nějaké otázky?
Kontaktujte nás zde, těšíme se na vás!
Nezapomeňte si do svých diářů poznamenat datum 6. 6. 2022 - ve spolupráci s naší partnerskou organizací Quality Austria pro Vás náš lektor Ing. M. Kisela, Ph.D. připravil hodinový online WORKSHOP ZDARMA, ve kterém Vás provede těmi nejpodstatnějšími změnami nového vydání normy ISO 27002.