02. Čvn 2022

Hlavní změny nového vydání normy

ISO 27002:2022

Norma ISO 27002:2022 byla revidována a zveřejněna v polovině února. Shrnuli jsme pro vás zásadní změny a novinky.

Co znamená zkratka ISO 27002?

Mezinárodní norma ISO/IEC 27002 "Bezpečnost informací, kybernetická bezpečnost a ochrana dat - Opatření pro bezpečnost informací" definuje obecná bezpečnostní opatření a podporuje plnění požadavků z přílohy A normy ISO/IEC 27001. ISO 27002 je podrobným a přesným dodatkem, ale nelze ji certifikovat, protože se nejedná o normu pro řízení. Při zavádění systémů řízení bezpečnosti informací (ISMS) se proto vychází z této příručky.

Předchozí verze ISO 27002:2013 byla zveřejněna před více než devíti lety a konečný návrh mezinárodní normy (DFIS) ISO 27002 byl zveřejněn na konci roku 2021 po předchozí koordinaci v rámci normalizačních výborů ISO a četných revizích.

K jakým změnám nyní dojde?

Norma ISO 27002:2022 má v budoucnu obsahovat 93 bezpečnostních opatření (tzv. "kontrol") rozdělených do čtyř kategorií:

  • organizační (37)
  • personální (8)
  • fyzické (14)
  • technologické kontroly (34)

Každé kontrolní opatření je následně spojeno s atributy. To umožňuje standardizovaný způsob třídění nebo filtrování bezpečnostních opatření. Těmito atributy jsou:

  • Typy ovládání: "Typy kontrol" je atribut, který umožňuje nahlížet na kontrolní opatření z hlediska toho, kdy a jak kontrola mění riziko s ohledem na výskyt incidentu bezpečnosti informací. Hodnoty atributů mohou být preventivní, reaktivní nebo nápravné.
  • Vlastnosti bezpečnosti informací: "Vlastnosti bezpečnosti informací" jsou atributem, u něhož lze uvažovat o opatřeních podle hledisek důvěrnosti, integrity nebo dostupnosti.
  • Koncepty kybernetické bezpečnosti: Atributy "konceptů kybernetické bezpečnosti" se dělí na identifikaci, ochranu, detekci, reakci a obnovu. Atributy jsou tedy definovány v rámci popsaném v ISO/IEC TS 27100.
  • Provozní schopnosti
  • Bezpečnostní domény

V předchozí verzi ISO 27002:2013 bylo 114 opatření rozdělených do 11 oblastí. Z nich bylo jedno opatření vypuštěno (Odstranění aktiv), zatímco ostatní opatření byla spojena do podobných témat, částečně z důvodu větší přehlednosti.

Kromě strukturální revize bylo přidáno několik kontrolních cílů, včetně oblastí, jako jsou např.

  • zpravodajské informace o hrozbách
  • zabezpečení informací při využívání cloudových služeb
  • připravenost ICT na zajištění kontinuity provozu,
  • monitorování fyzické bezpečnosti
  • správa konfigurace, abychom jmenovali alespoň některé.

Zásadní strukturální změna normy ISO 27002 zároveň vyžaduje revizi normy ISO 27001, zejména její přílohy A, aby byly obě normy v souladu. Proto lze brzy očekávat novou verzi normy ISO 27001, a to ve zrychleném řízení, aby se doba odklonu obou norem co nejvíce zkrátila.

Organizace, které již zavedly ISMS podle ISO 27001, by se tedy měly seznámit s novými kontrolními cíli a zavést je po uplynutí přechodného období v délce až dvou let (od měsíce skutečného zveřejnění), jak se lze dočíst v příslušném návrhu příslušného závazného dokumentu Mezinárodního akreditačního fóra (IAF). Doporučujeme, aby organizace, které zvažují certifikaci podle ISO 27001, již tento ISMS vypracovaly podle nové struktury ISO 27002:2022.

Jsme připraveni Vás podpořit při přechodu na ISO 27002:2022!

Jako akreditovaná certifikační organizace v oblasti bezpečnosti informací se CIS od samého počátku aktivně podílí na činnosti pracovních skupin, a tím i na revizi normy. V současné době také intenzivně pracujeme na implementaci nové verze ve všech našich službách (certifikace, audity a školení).

O nadcházejících termínech vás budeme samozřejmě informovat prostřednictvím našich webových stránek a newsletteru!

Máte nějaké otázky?
Kontaktujte nás zde, těšíme se na vás!

Nezapomeňte si do svých diářů poznamenat datum 6. 6. 2022 - ve spolupráci s naší partnerskou organizací Quality Austria pro Vás náš lektor Ing. M. Kisela, Ph.D. připravil hodinový online WORKSHOP ZDARMA, ve kterém Vás provede těmi nejpodstatnějšími změnami nového vydání normy ISO 27002. 

 

15. Led 2025

ISO 27001- nároky, přínosy

Faktory úspěchu

25. Lis 2024

6 kroků k úspěšné implementaci ISO 42001

Nová norma pro AI

11. Lis 2024

6 výhod certifikace ISO 42001

Nová norma pro AI

05. Lis 2024

Vyšší bezpečnost s ISO 27001

ISO 27001 zvyšuje bezpečnost informací pro 81 % certifikovaných společností

30. Říj 2024

Společnost CIS udělila první certifikát ISO 42001

Novinky z oblasti AI

18. Říj 2024

CIS Compliance Summit 2024: CISO of the Year

Ocenění pro inovátory, kteří dělají kybernetický život bezpečnější a jednodušší

17. Říj 2024

Jaký byl CIS Compliance Summit 2024

Etika AI zajišťuje infrastrukturu v úzké spolupráci se směrnicemi a certifikačními standardy

27. Zář 2024

World Quantum Readiness Day

26. září 2024 poprvé jako World Quantum Readiness Day

16. Zář 2024

Co Vás čeká – část II.

CIS Compliance Summit 2024

10. Zář 2024

Co Vás čeká – část I.

CIS Compliance Summit 2024

22. Srp 2024

Zpráva o globálních hrozbách 2024

Zjištění, trendy a doporučení

16. Srp 2024

DORA v praxi – díl II.

Technické možnosti a výzvy

+420 733 180 494