News

Nova izdaja standardov ISO/IEC 27001 in ISO/IEC 27002

Nov. 28 2022

spremembE v družini  ISO/IEC 27001 in ISO/IEC 27002

Objavljena je nova verzija standarda ISO/IEC 27001:2022, ki je z novo izdajo doživela prvo večjo prenovo po letu 2013. Organizacije, certificirane po standardu ISO/IEC 27001, bodo te spremembe prepoznale predvsem v varnostnih kontrolah Priloge A. Prav tako je bil že 15. februarja 2022 posodobljen ISO/IEC 27002, ki predstavlja osnovo za spremembe Priloge A standarda ISO/IEC 27001.

ISO/IEC 27001 v svoji prilogi A ponuja zahteve varnostnih kontrol, ne pojasnjuje pa, kako jih je mogoče implementirati, pri čemer ISO/IEC 27002 navaja te iste kontrole in daje smernice o tem, kako jih implentirati in izvajati. Prilogo A si lahko predstavljate kot »kazalo« za standard ISO/IEC 27002:2022. Posodobitve iz leta 2022 veljajo za varnostne kontrole ISO/IEC 27002. Posodobljena je tudi Priloga A k ISO/IEC 27001, da odraža te spremembe.

Standard ISO/IEC 27001 pomaga organizacijam zaščititi zaupnost, celovitost in razpoložljivost njihovih informacij. Ti trije elementi tvorijo osnovo dobre informacijske varnosti. ISO/IEC 27001 pomaga zaščititi informacije v kakršni koli obliki. Kibernetska varnost, ki ščiti digitalne informacije, pa tukaj igra pomembno vlogo.

Zakaj je bil standard ISO 27001 posodobljen?

Vsi standardi ISO so podvrženi postopku pregleda na vsaj vsakih pet let, ni pa nujno, da ta pregled prinese velike spremembe. V primeru ISO/IEC 27002 je nedavni pregled prinesel nekaj pomembnih posodobitev. Za to obstaja dober razlog. Od zadnje večje revizije je minilo skoraj desetletje. V tem enem samem desetletju se je veliko spremenilo. Področje kibernetskih groženj se je razvilo in postalo bolj zapleteno. V igro so prišle nove tehnologije. Vse več podjetij se je povezalo s spletom in sprejelo delo na daljavo, ki deluje virtualno z aplikacijami v oblaku. Informacijska varnost leta 2022 preprosto ni enaka informacijski varnosti leta 2013. Zahteva več budnosti in več marljivosti kot kadarkoli prej.

Spremembe ISO/IEC 27002/Priloga A bodo zahtevale nekaj dodatnega truda za prehod. ISO/IEC 27001 je mednarodni standard za varnost informacij z najboljšimi praksami za zaščito vaših podatkov. Danes so te prakse izjemno pomembne tudi za mala podjetja.

Katere so ključne spremembe?

Čeprav se dejanske klavzule standarda ISO/IEC 27001 niso spremenile, je bil podporni standard ISO/IEC 27002 deležen velike prenove. Te spremembe se odražajo v Prilogi A standarda ISO/IEC 27001.

Varnostne kontrole iz Priloge A predstavljajo dobršen del tehničnega dela za implementacijo standarda ISO/IEC 27001. Torej, čeprav se je spremenila le priloga A, bo posodobitev vplivala na celoten sistem vodenja varovanja informacij.

Prejšnja različica Priloge A (ISO/IEC 27001:2013) je vsebovala 114 kontrol v 14 družinah. Nova različica vsebuje 93 kontrol v 4 družinah. Tehnično nova različica vsebuje manj kontrol vendar velik del tega zmanjšanja izhaja iz odvečnih kontrol, ki so bile odstranjene ali združene.

Pravzaprav ISO/IEC 27002:2022 dodaja 11 novih kontrol v Prilogo A, ki standardu dodajajo nove plasti informacijske varnosti:

  • Obveščanje o grožnjah (A.5.7 Threat intelligence)
  • Informacijska varnost pri uporabi storitev v oblaku (A.5.23 Information security for use of cloud services)
  • IKT pripravljenost za neprekinjeno poslovanje (A.5.30 ICT readiness for business continuity)
  • Nadzor fizične varnosti (A.7.4 Physical security monitoring)
  • Upravljanje konfiguracije (A.8.9 Configuration management)
  • Brisanje informacij (A.8.10 Information deletion)
  • Maskiranje podatkov (A.8.11 Data masking)
  • Preprečevanje uhajanja podatkov (A.8.12 Data leakage prevention)
  • Spremljanje dejavnosti (A.8.16 Monitoring activities)
  • Spletno filtriranje (A.8.23 Web filtering)
  • Varno kodiranje (A.8.28 Secure coding)

Poleg tega zahteva posodobljena različica standarda dokumentirane operativne postopke, medtem ko je prejšnja različica zahtevala le politike. Politike zagotavljajo cilje in kazalnike za vaš sistem vodenja informacijske varnosti. Postopki pa določajo operativne korake, ki jih boste sprejeli za doseganje teh ciljev. S temi na novo zahtevanimi postopki bo tudi dokumentacijski del procesa certificiranja postal bolj poglobljen.

Na tej točki se morda zdi, da so spremembe samo povečale komplesnost priloge A, vendar te pomembne posodobitve zagotavljajo tudi jasnejša navodila in obsežnejše razlage kot prejšnje različice standarda. Posodobljeni ISO/IEC 27002 je veliko obsežnejši dokument, zagotavlja pa večjo jasnost glede posebnosti vsake kontrole.

Posodobljena različica ponuja tudi novo organizacijsko shemo za nadzor. Varnostne kontrole so zdaj razvrščene po petih atributih:

  1. Vrsta nadzora
  2. Koncept kibernetske varnosti
  3. Lastnosti informacijske varnosti
  4. Operativne zmogljivosti
  5. Varnostne domene

Ti novi atributi pomagajo podjetjem pri prioretiziranju pravih kontrol glede na njihov kontekst. Na primer, če je vaša primarna skrb zaupnost, lahko uporabite te atribute za razvrščanje kontrol glede na eno lastnost informacijske varnosti.

Če povzamemo: posodobitve iz leta 2022 dodajajo dodatne odgovornosti certificiranju ISO/IEC 27001, zagotavljajo pa tudi jasnejše smernice in organizacijo.

KONTAKTIRAJTE NAS ZA VEČ INFORMACIJ