Objavljena je nova verzija norme ISO/IEC 27001:2022 koja krajem 2022. godine prolazi kroz prvu veću reviziju od 2013. godine. Tvrtke certificirane prema normi ISO/IEC 27001 prepoznat će ove promjene prvenstveno u sigurnosnim kontrolama Aneksa A. Također, ISO/IEC 27002 je već ažuriran 15. veljače 2022. godine, što je bila osnova za izmjene Aneksa A standarda ISO/IEC 27001.
Izvor: https://www.iso.org/standard/82875.html;
U svom Ankesu A, ISO/IEC 27001 samo daje zahtjeve za sigurnosnu kontrolu i ne objašnjava kako se oni mogu implementirati, dok ISO/IEC 27002 navodi te iste kontrole i daje smjernice o tome kako ih implementirati. Aneks A može se smatrati "kazalom" za standard ISO/IEC 27002:2022. Revizija iz 2022.godine odnose se na sigurnosne kontrole ISO/IEC 27002, a Aneks A ISO/IEC 27001 također je revidiran kako bi odražavao te promjene.
Norma ISO/IEC 27001 pomaže organizacijama u zaštiti povjerljivosti, cjelovitosti i dostupnosti informacija. Ova tri elementa čine osnovu dobre informacijske sigurnosti. ISO/IEC 27001 pomaže u zaštiti informacija u bilo kojem obliku. Kibernetička sigurnost, koja štiti digitalne informacije, ovdje igra važnu ulogu.
Zašto je standard revidiran?
Sve ISO norme prolaze kroz proces revizije najmanje svakih pet godina, ali ta revizija ne uključuje nužno velike promjene. Međutim, u slučaju ISO/IEC 27002, nedavna revizija donijela je neke važne promjene i za to postoji dobar razlog. Prošlo je gotovo desetljeće od posljednje velike revizije i mnogo toga se promijenilo u tom jednom desetljeću. Okruženje kibernetičkih prijetnji evoluiralo je i postalo složenije, u igru su ušle nove tehnologije. Sve više i više tvrtki pristupilo je internetu i prihvatilo rad na daljinu koji funkcionira virtualno s aplikacijama u oblaku. Informacijska sigurnost u 2022. jednostavno nije ista kao informacijska sigurnost u 2013. godini - zahtijeva više opreza i više napora nego ikad prije.
Ove promjene ISO/IEC 27002/Aneksa A mogu doista zahtijevati dodatne napore. Ali ISO/IEC 27001 je međunarodni standard za informacijsku sigurnost i ovo su najbolji postupci za zaštitu vaših podataka. U 2022. godini ove su prakse iznimno važne, čak i za mala poduzeća.
Što se promijenilo?
Iako se stvarne odredbe standarda ISO/IEC 27001 nisu promijenile, prateći standard ISO/IEC 27002 doživio je veliku reviziju. Ove promjene se odražavaju u Aneksu A standarda ISO/IEC 27001.
Sigurnosne kontrole u Aneksu A predstavljaju dobar dio tehničkog posla za implementaciju ISO/IEC 27001. Dakle, iako je promijenjen samo Aneks A, revizija će utjecati na cijeli sustav upravljanja.
Prethodna verzija Aneksa A (ISO/IEC 27001:2013) sadržavala je 114 kontrola u 14 obitelji. Nova verzija sadrži 93 kontrole u 4 obitelji. Tehnički, nova verzija sadrži manje kontrola, ali veći dio ovog smanjenja dolazi od suvišnih kontrola koje su uklonjene ili je više njih spojeno.
Zapravo, ISO/IEC 27002:2022 dodaje 11 novih kontrola u Aneksu A, koje standardu dodaju nove slojeve informacijske sigurnosti:
. Informacije o prijetnjama (A.5.7 Threat intelligence)
· Informacijska sigurnost za sigurne usluge u oblaku (A.5.23 Information security for use of
cloud services)
· ICT spremnost za kontinuitet poslovanja (A.5.30 ICT readiness for business continuity)
· Nadzor fizičke sigurnosti (A.7.4 Physical security monitoring)
· Upravljanje konfiguracijom (A.8.9 Configuration management)
· Brisanje informacija (A.8.10 Information deletion)
· Maskiranje podataka (A.8.11 Data masking)
· Sprječavanje curenja podataka (A.8.12 Data leakage prevention)
· Nadzor aktivnosti (A.8.16 Monitoring activities)
· Nadzor pristupa nad vanjskim internetskim stranicama (A.8.23 Web filtering)
· Sigurno programiranje (A.8.28 Secure coding)
Osim toga, revidirana verzija standarda zahtijeva dokumentirane operativne postupke, dok je prethodna verzija zahtijevala samo pravila. Politike daju ciljeve i pokazatelje za vaš sustav upravljanja informacijskom sigurnošću. Procedure, s druge strane, definiraju operativne korake koje ćete poduzeti kako biste postigli te ciljeve. S ovim novozahtjevanim postupcima dokumentacijski dio procesa certificiranja također će postati bolje razrađen.
U ovom trenutku može se činiti da su promjene samo povećale sveobuhvatnost Aneks A, ali ova važna ažuriranja također pružaju jasnije smjernice i opširnija objašnjenja od prethodnih verzija standarda. Ažurirani ISO/IEC 27002 puno je opsežniji dokument, ali daje veću jasnoću o specifičnostima svake pojedine kontrole.
Ažurirana verzija nudi i novi organizacijski dijagram kontrole. Sigurnosne kontrole sada su klasificirane prema pet atributa:
1. Vrsta kontrole
2. Koncept kibernetičke sigurnosti
3. Značajke informacijske sigurnosti
4. Operativne sposobnosti
5. Sigurnosne domene
Ovi novi atributi pomažu tvrtkama odrediti prioritet pravih kontrola na temelju njihovog konteksta. Na primjer, ako je vaša primarna briga povjerljivost informacija, možete koristiti ove atribute za rangiranje kontrola na temelju jednog svojstva sigurnosti informacija.
Ukratko: ažuriranja iz 2022. dodaju dodatne odgovornosti certifikatu ISO/IEC 27001, ali također pružaju jasnije smjernice i organizaciju.