02. Čvn 2022

Hlavní změny nového vydání normy

ISO 27002:2022

Norma ISO 27002:2022 byla revidována a zveřejněna v polovině února. Shrnuli jsme pro vás zásadní změny a novinky.

Co znamená zkratka ISO 27002?

Mezinárodní norma ISO/IEC 27002 "Bezpečnost informací, kybernetická bezpečnost a ochrana dat - Opatření pro bezpečnost informací" definuje obecná bezpečnostní opatření a podporuje plnění požadavků z přílohy A normy ISO/IEC 27001. ISO 27002 je podrobným a přesným dodatkem, ale nelze ji certifikovat, protože se nejedná o normu pro řízení. Při zavádění systémů řízení bezpečnosti informací (ISMS) se proto vychází z této příručky.

Předchozí verze ISO 27002:2013 byla zveřejněna před více než devíti lety a konečný návrh mezinárodní normy (DFIS) ISO 27002 byl zveřejněn na konci roku 2021 po předchozí koordinaci v rámci normalizačních výborů ISO a četných revizích.

K jakým změnám nyní dojde?

Norma ISO 27002:2022 má v budoucnu obsahovat 93 bezpečnostních opatření (tzv. "kontrol") rozdělených do čtyř kategorií:

  • organizační (37)
  • personální (8)
  • fyzické (14)
  • technologické kontroly (34)

Každé kontrolní opatření je následně spojeno s atributy. To umožňuje standardizovaný způsob třídění nebo filtrování bezpečnostních opatření. Těmito atributy jsou:

  • Typy ovládání: "Typy kontrol" je atribut, který umožňuje nahlížet na kontrolní opatření z hlediska toho, kdy a jak kontrola mění riziko s ohledem na výskyt incidentu bezpečnosti informací. Hodnoty atributů mohou být preventivní, reaktivní nebo nápravné.
  • Vlastnosti bezpečnosti informací: "Vlastnosti bezpečnosti informací" jsou atributem, u něhož lze uvažovat o opatřeních podle hledisek důvěrnosti, integrity nebo dostupnosti.
  • Koncepty kybernetické bezpečnosti: Atributy "konceptů kybernetické bezpečnosti" se dělí na identifikaci, ochranu, detekci, reakci a obnovu. Atributy jsou tedy definovány v rámci popsaném v ISO/IEC TS 27100.
  • Provozní schopnosti
  • Bezpečnostní domény

V předchozí verzi ISO 27002:2013 bylo 114 opatření rozdělených do 11 oblastí. Z nich bylo jedno opatření vypuštěno (Odstranění aktiv), zatímco ostatní opatření byla spojena do podobných témat, částečně z důvodu větší přehlednosti.

Kromě strukturální revize bylo přidáno několik kontrolních cílů, včetně oblastí, jako jsou např.

  • zpravodajské informace o hrozbách
  • zabezpečení informací při využívání cloudových služeb
  • připravenost ICT na zajištění kontinuity provozu,
  • monitorování fyzické bezpečnosti
  • správa konfigurace, abychom jmenovali alespoň některé.

Zásadní strukturální změna normy ISO 27002 zároveň vyžaduje revizi normy ISO 27001, zejména její přílohy A, aby byly obě normy v souladu. Proto lze brzy očekávat novou verzi normy ISO 27001, a to ve zrychleném řízení, aby se doba odklonu obou norem co nejvíce zkrátila.

Organizace, které již zavedly ISMS podle ISO 27001, by se tedy měly seznámit s novými kontrolními cíli a zavést je po uplynutí přechodného období v délce až dvou let (od měsíce skutečného zveřejnění), jak se lze dočíst v příslušném návrhu příslušného závazného dokumentu Mezinárodního akreditačního fóra (IAF). Doporučujeme, aby organizace, které zvažují certifikaci podle ISO 27001, již tento ISMS vypracovaly podle nové struktury ISO 27002:2022.

Jsme připraveni Vás podpořit při přechodu na ISO 27002:2022!

Jako akreditovaná certifikační organizace v oblasti bezpečnosti informací se CIS od samého počátku aktivně podílí na činnosti pracovních skupin, a tím i na revizi normy. V současné době také intenzivně pracujeme na implementaci nové verze ve všech našich službách (certifikace, audity a školení).

O nadcházejících termínech vás budeme samozřejmě informovat prostřednictvím našich webových stránek a newsletteru!

Máte nějaké otázky?
Kontaktujte nás zde, těšíme se na vás!

Nezapomeňte si do svých diářů poznamenat datum 6. 6. 2022 - ve spolupráci s naší partnerskou organizací Quality Austria pro Vás náš lektor Ing. M. Kisela, Ph.D. připravil hodinový online WORKSHOP ZDARMA, ve kterém Vás provede těmi nejpodstatnějšími změnami nového vydání normy ISO 27002. 

 

27. Zář 2024

World Quantum Readiness Day

26. září 2024 poprvé jako World Quantum Readiness Day

16. Zář 2024

Co Vás čeká – část II.

CIS Compliance Summit 2024

10. Zář 2024

Co Vás čeká – část I.

CIS Compliance Summit 2024

22. Srp 2024

Zpráva o globálních hrozbách 2024

Zjištění, trendy a doporučení

20. Čvn 2024

Online kurz: Refreshing kurz pro auditory a manažery IS

2024: podzimní termín

13. Čvn 2024

Inovace v oblasti ISO norem

Zahrnutí aspektů změny klimatu do norem pro systémy řízení

28. Kvě 2024

Jaký způsob získávání znalostí je nejúčinnější?

Co očekáváte od dalšího vzdělávání?

20. Kvě 2024

Online kurz: Refreshing kurz pro manažery a auditory IS

2024: nový termín

17. Kvě 2024

Podrobněji o TISAX®: 12 cílů hodnocení

Bezpečnost informací v automobilovém průmyslu

15. Kvě 2024

Podrobněji o TISAX®: tři úrovně hodnocení

Bezpečnost informací v automobilovém průmyslu

02. Kvě 2024

TISAX®: Bezpečnost informací v automobilovém průmyslu

V rychlém pruhu

22. Dub 2024

ISO 42001 – nová norma pro umělou inteligenci

První světový standard pro umělou inteligenci

+420 733 180 494