Potrebujete konzultáciu?+421 2/20 850 891
Ponuka našich kurzov
PRINCE2®ITIL®MoR®TOGAF®Soft skillsViac
> > Aktuálna verzia ISO 27001 čoskoro končí. Ako upgradovať ?

Aktuálna verzia ISO 27001 čoskoro končí. Ako upgradovať ?

  • Datum: 02.02.2022
  • Autor: Jan Cuřín

Organizácia certifikovaná podľa systému riadenia informačnej bezpečnosti ISO 27001, Interný Audítori, Manažéri Kybernetickej bezpečnosti, Vedúci Audítori, držitelia certifikácie ISO 27001 - Information Security Management System (ISMS) v akejkoľvek podobe (na organizáciu, alebo personálne) musí vymeniť svoje profesijné "vodičáky". Zmena zasiahne prakticky celý sektor informačnej a kybernetickej bezpečnosti.

Posledná revízia normy ISO 27001 prebehla v roku 2013, je to už 9 rokov od vydania aktualizácie, ktorá nesie označenie ISO/IEC 27001:2013. Na ceste je nová verzia ISO/IEC 27001:2022. A v tomto prípade nepôjde o kozmetický upgrade. Tu nezostane kameň na kameni.

Ako sa zmení systém informačnej bezpečnosti?

Vydanie novej normy ISO/IEC 27001 predchádza release ISO/IEC 27002. Ten je naplánovaný na Q1 2022. Spustenie certifikácie podľa novej normy ISO/IEC 27001 bude nasledovať prakticky okamžite.

Spoločný technický výbor Medzinárodnej organizácie pre normalizáciu (ISO) a Medzinárodnej elektrotechnickej komisie (IEC) ISO/IEC JTC 1 mení po takmer 20 rokoch celú štruktúru kontrolného rámca ISO/IEC 27001/27002. Pôjde tak o úplne nový pohľad a požiadavky na organizácie, aj špecialistov informačnej a kybernetickej bezpečnosti.


Základný rozdiel medzi ISO/IEC 27001 a ISO/IEC 27002

Štandard ISO/IEC 27001 kladie požiadavky, ktoré musia byť splnené, aby spoločnosť mohla získať certifikát o zhode od akreditovaného certifikačného orgánu (Conformity Assessment Body - CAB). Norma ISO/IEC 27001 tak dokumentuje požiadavky na vytvorenie, zavedenie, udržovanie a neustále zlepšovanie systému riadenia bezpečnosti informácií.

Norma ISO/IEC 27002 je určená pre všetky organizácie, ktoré ju môžu používať ako referenčný dokument pre výber kontrolných mechanizmov a poskytuje pokyny pre postupy riadenia bezpečnosti informácií vrátane zavedenia a riadenia kontrolných mechanizmov. Organizácie môžu získať certifikát iba podľa noriem, ktoré obsahujú požiadavky, ale nemôžu získať certifikát podľa noriem, ktoré poskytujú pokyny.

Zmeny v ISO/IEC 27001:2022

Medzi hlavné zmeny v ISO/IEC 27001:2022 patrí:

  • Príloha A odkazuje na kontroly v ISO/IEC 27002:2022, čo zahŕňa názov kontroly a vlastnú kontrolu;
  • Poznámka v článku 6.1.3 c) je upravená. Došlo k vypusteniu obratu "cieľov opatrenia" a nahradenie obratom "kontroly bezpečnosti informácií"
  • Znenie článku 6.1.3 d) je upravené tak, aby bolo jasné a odstránená možná nejednoznačnosť.

Zmeny v ISO/IEC 27002:2022

Je upravený samostatný názov normy. Je vypustený text "Súbor postupov" (Code of practice..). Cieľom tejto zmeny je odrážať zamýšľané použitie vo verzii 2022 ako referenčného súboru obecných kontrol a pokynov pre bezpečnosť informácií.

Úplný názov normy bude pravdepodobne "Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia - Kontroly bezpečnosti informácií. " (Information secuity, cybersecurity and privacy protection - Information secuity controls), ktorý odráža širší kontext a aj skutočnosť, že prevencia, detekcia a reakcia na kybernetické útoky je teraz považovaná za ochranu dát.

ISO/IEC 27002:2013 obsahuje 114 kontrol v 14 oblastiach, ISO/IEC 27002:2022 bude obsahovať 93 kontrol v 4 oblastiach:

  • Kapitola 5 - Organizačná (pokiaľ nespadajú do žiadnej inej oblasti) - 37 kontrol
  • Kapitola 6 - Ľudia (pokiaľ sa týkajú jednotlivých ľudí) - 8 kontrol
  • Kapitola 7 - Fyzické (pokiaľ sa týkajú fyzických objektov) - 14 kontrol
  • Kapitola 8 - Technologické (pokiaľ sa týkajú technológií) - 34 kontrol

Pre každú kontrolu bude 5 atribútov:

  • Ako kategorizovať - preventívne, detektívne (vyšetrovacie), nápravné
  • Vlastnosti bezpečnosti informácií - dôvernosť, integrita, dostupnosť
  • Koncepty kybernetickej bezpečnosti - identifikácia, ochrana, detekcia, reakcia, obnova
  • Prevádzkové schopnosti - riadenie, správa aktív, ochrana informácií, bezpečnosť ľudských zdrojov, fyzická bezpečnosť, bezpečnosť systémov a sietí, bezpečnosť aplikácií, bezpečná konfigurácia, správa identít a prístupov, správa hrozieb a zraniteľnosť, kontinuita, bezpečnosť dodávateľských vzťahov, zhoda s požiadavkami zákonov a zmlúv, riadenie udalostí v oblasti bezpečnosti informácií, zaistenie bezpečnosti informácií
  • Oblasť bezpečnosti - riadenie a ekosystém, ochrana, obrana, odolnosť

V novej verzii normy ISO/IEC 27002 bude zavedených dvanásť nových kontrol:

  • Správa identít
  • Správa hrozieb
  • Bezpečnosť informácií pre využívanie cloudových služieb
  • Pripravenosť ICT pre zaistenie kontinuity prevozu
  • Monitorovanie fyzickej bezpečnosti
  • Užívateľské koncové zariadenie
  • Správa konfigurácie
  • Mazanie informácií
  • Prevencia úniku dát
  • Filtrovanie webu
  • Bezpečné kódovanie

Šestnásť kontrol bolo odstránených z dôvodu duplicity alebo lepšieho zladenia v rámci iných kontrol:

  • Prieskum zásad pre bezpečnosť informácií
  • Zásady pre mobilné zariadenia
  • Vlastníctvo aktív
  • Nakladanie s aktívami
  • Systém správy hesiel
  • Priestory  pre nákladku a výkladku
  • Navracanie/likvidácia aktív
  • Zariadenie bez obsluhy
  • Ochrana logov
  • Obmedzenie inštalácie softwaru
  • Elektronické zasielanie správ
  • Zabezpečenie aplikačných služieb vo verejných sieťach
  • Ochrana transakcií aplikačných služieb
  • Akceptačné testovanie systému
  • Hlásenie slabých miest
  • Kontrola technickej zhody      
    • Zakúpenie aktualizovanej normy.
    • Preskúmanie novej normy ISO 27002 a jej kontrolných zmien.
    • Previesť posúdenie/analýzu rizík.
    • Pre zmiernenie všetkých zistených rizík vyberte kontrolné mechanizmy, ktoré sú najvhodnejšie, a podľa toho aktualizujte zásady ISMS, pracovných postupov atď.
    • Aktualizujte prehlásenie o aplikovateľnosti (PoA).

Niektoré kontroly a kontrolné prvky boli upravené a integrované do jednej hlavnej kontroly.

Najčastejšie otázky a odpovede pred ukončením platnosti ISO/IEC 27001:2013

Je možné sa nejako pripraviť na novú verziu ISO 27001:2022? Určite áno, chystáme "Bridge" program pre absolventov existujúcich certifikácie. V tomto programe sa dozvedia hlavné rozdiely oboch noriem a best practice pre nastavenie opatrení.

Mám certifikáciu na organizáciu podľa ISO 27001. Čo ma čaká? Pri najbližšom dohľadovom, alebo re-certifikačnom audite, ktorý nastane v dobe vydania novej verzie budete vedúcim audítorom TAYLLORCOX podrobení auditu podľa nových požiadaviek.

Plánoval som kurz zo sekcie ISO 27001, mám ho odložiť a počkať až bude nová norma? Určite nie. Náš pohľad a odborný názor je taký, že pokiaľ to len trochu ide, investujte do znalostí už teraz. Aktuálna verzia tu s kozmetickými zmenami je 20 rokov. Prechod na novú normu bude v rade organizácií postupný a z kariérneho a business pohľadu vidíme obrovský potenciál v upgradovaní starých smerníc ISO 27001 na novú verziu. K tomu je ale dobré orientovať sa v aktuálnych pravidlách, ale aj v tých nových.

Štítky
ISMSISO/IEC 27001ISO27001ISO27002

Najčítanejšie články

Štítky
PRINCE2 (30)Project Manager (21)Agile (6)SCRUM (4)MoP (6)eIDAS (2)GDPR (13)MSP (9)Program Manager (5)Data Protection Officer (12)Tip (2)IT Security (2)POVEZ (2)Dotace (2)ZoKB (1)ISMS (7)TOGAF (5)ArchiMate (5)Enterprise Architect (6)BCM (2)Business Continuity (2)IT Service (9)ITIL (21)Risk (3)MoR (5)Pověřenec pro ochranu osobních údajů (7)Správce osobních údajů (1)Zpracovatel osobních údajů (1)DPIA (1)IT (4)Byznys (1)ITSM (8)eGovernment (1)Business Simulation (3)Grab@Pizza (1)P3O (5)Portfolio Manager (1)AgileSHIFT (3)ISO (1)ISO45001 (2)Management of Risk (2)Risk Manager (2)Risk Management (2)ITIL 4 (13)DevOps (7)Lean (1)Six Sigma (1)BOZP (1)OHSAS (1)P3M3 (1)Axelos (5)PeopleCert (4)softskills (6)leadership (3)leadershipremanazerov (4)leader (3)leader (1)BPM - PROFESSIONAL (1)SECURITY (1)ITIL4Online (2)BPM (2)Online (3)elearning (1)software (2)audit (2)workshop (1)business (1)SAF (1)Aktuálne (4)Onsite (1)PMI (1)IPMA (1)SAFe (1)Kanban (2)BABOK (1)Business Analýza (1)Business Analytik (1)rodinné podnikanie (1)consulting (1)aktualne (1)kybernetická bezpečnosť (3)informačná bezpečnosť (1)školenie na mieru (1)stressmanagement (2)timemanagement (2)copingstrategies (1)ISO/IEC 27001 (1)ISO27001 (1)ISO27002 (1)communication (1)well-being balance (1)motivation (1)coaching (1)koučing (1)kouč (1)coach (1)assessmentcentre (1)hr (1)compliance (1)zodpovedná osoba (1)

Chcete získať darček k narodeninám?

Portfolio

Hlavná ponuka

Certifikácia

TAYLLORCOX

Naša centrála

Zelinárska 6, Bratislava, 821 08+421 220 850 891

Sledujte nás

Tayllorcox aplikace

Stiahnite si našu aplikáciu

Stáhnout v App StoreStáhnout v Google Play