Od izdaje prenovljenih različic ISO/IEC 27001 in ISO/IEC 27002 je minilo leto dni. Organizacije, ki v svoje poslovanje uvajajo zahteve nove izdaje standarda, poročajo o pozitivnih izkušnjah. Časa za prehod na novo izdajo standarda ni več veliko, zato pozivamo tudi vse ostale organizacije, naj pohitijo z uvajanjem sprememb.
Novi izdaji ISO/IEC 27001 in ISO/IEC 27002 prinašata veliko sprememb. Organizacije prepoznavajo spremembe predvsem v varnostnih kontrolah, ki so v standardu ISO/IEC 27001 naštete v Prilogi A, v smernicah standarda ISO/IEC 27002 pa natančneje opredeljene, kako jih implementirati in izvajati.
Slednje predstavljajo dobršen del tehničnega dela za implementacijo standarda ISO/IEC 27001:2022. Čeprav se dejanske klavzule standarda ISO/IEC 27001 niso spremenile, je bil podporni standard ISO/IEC 27002 deležen velike prenove. Spremembe le-tega se odražajo v Prilogi A standarda ISO/IEC 27001.
ISO/IEC 27002:2022 dodaja 11 novih kontrol, ki predstavljajo organizacijam nove plasti informacijske varnosti:
- Obveščanje o grožnjah (A.5.7 Threat intelligence)
- Informacijska varnost pri uporabi storitev v oblaku (A.5.23 Information security for use of cloud services)
- IKT pripravljenost za neprekinjeno poslovanje (A.5.30 ICT readiness for business continuity)
- Nadzor fizične varnosti (A.7.4 Physical security monitoring)
- Upravljanje konfiguracije (A.8.9 Configuration management)
- Brisanje informacij (A.8.10 Information deletion)
- Maskiranje podatkov (A.8.11 Data masking)
- Preprečevanje uhajanja podatkov (A.8.12 Data leakage prevention)
- Spremljanje dejavnosti (A.8.16 Monitoring activities)
- Spletno filtriranje (A.8.23 Web filtering)
- Varno kodiranje (A.8.28 Secure coding)
Posodobljena različica standarda zahteva v okviru nove kontrole "Configuration management" od organizacije, da
- vzpostavi,
- dokumentira,
- uvede,
- nadzoruje in
- pregleduje
konfiguracije, vključno s konfiguracijami varnostnih nastavitev za:
- strojno opremo,
- programsko opremo,
- storitve (servise) in
- omrežja,
kar zaradi obsežnosti dejanske vsebine v vseh organizacijah zahteva sistematičen, predvsem pa takojšen pristop k urejanju obstoječe prakse v vaši organizaciji.
- Vrsta nadzora
- Lastnosti informacijske varnosti
- Koncept kibernetske varnosti
- Operativne zmogljivosti
- Varnostne domene
Ti novi atributi pomagajo podjetjem pri prioritetiziranju pravih kontrol glede na njihov kontekst. Na primer, če je vaša primarna skrb zaupnost, lahko uporabite te atribute za razvrščanje kontrol glede na eno lastnost informacijske varnosti.
Časa za pripravo na prehod ni več veliko
Organizacije se skladno s pravili lahko še 18 mesecev od izdaje novega standarda certificirajo po stari verziji standarda ISO/IEC 27001:2013. Kljub temu določilu določilu, se je Bureau Veritas odločil, da zaradi obsežnih sprememb, ki jih prinaša nova izdaja standarda, obdobje skrajša na 31. december 2023, kar pomeni, da po tem datumu certificiranje po stari verziji ne bo več mogoče.
Vse organizacije, tudi tiste, ki so se že ali se bodo v prehodnem obdobju certificirale po stari različici standarda, morajo preiti na novo verzijo najkasneje do 31. oktobra 2025. Spremembe varnostnih kontrol zahtevajo kar nekaj truda za prehod na novo izdajo standarda, zato predlagamo organizacijam, ki z uvajanjem poslovanja po zahtevah novega standarda še niso začele, naj se tega lotijo čimprej.
ISO/IEC 27001:2022 za vse velikosti in dejavnosti organizacij
ISO/IEC 27001 je mednarodni standard za varnost informacij z najboljšimi praksami za zaščito podatkov organizacij vseh velikosti in dejavnosti. Danes so te prakse izjemno pomembne tudi za mala podjetja. Standard pomaga organizacijam zaščititi zaupnost, celovitost in razpoložljivost njihovih informacij. ISO/IEC 27001 pomaga zaščititi informacije v kakršni koli obliki. Zelo pomembno vlogo tukaj igra tudi kibernetska varnost, ki ščiti digitalne informacije.
Posodobitve iz leta 2022 prinašajo certificiranim organizacijam dodatne odgovornosti, zagotavljajo pa tudi jasnejše smernice in organizacijo.
Za vse dodatne informacije smo vam na voljo. Z veseljem bomo odgovorili na vaša vprašanja.
Kontakt za dodatne informacije:
Boštjan Cerar, vodja prodaje certificiranja sistemov vodenja
tel.: 051 370 047