15 lutego 2022 r. Międzynarodowa Organizacja Normalizacyjna (ISO) opublikowała międzynarodową normę – standard „ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection – Information security controls”. Norma ta została ustanowiona jako Europejska, a następnie Polska Norma w wersji angielskiej PN-EN ISO/IEC 27002:2022 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności — Zabezpieczanie informacji „. Jest to zestaw wytycznych, jak zabezpieczać informacje w organizacji niezależnie od jej wielkości czy branży.
Nowa norma aktualizuje wersję ustanowioną ponad 9 lat temu: ISO/IEC 27002 Information technology — Security techniques — Code of practice for information security controls (równoważna Polska Norma — PN-ISO/IEC 27002:2014 Technika informatyczna — Techniki bezpieczeństwa — Praktyczne zasady zabezpieczania informacji).
Nowy dokument uwzględnia rozwój cyberzagrożeń, technologii oraz praktyk zabezpieczania informacji i ochrony prywatności.
Nowa norma aktualizuje wersję ustanowioną ponad 9 lat temu: ISO/IEC 27002 Information technology — Security techniques — Code of practice for information security controls.
Norma ISO 27002:2022 a ISO 27002:2013 - jakie zmiany?
W nowej wersji normy ISO/IEC 27002:2022 zmniejszyła się liczba zabezpieczeń ze 114 do 93. Zabezpieczenia to środki, które modyfikują lub utrzymują ryzyko.
Wszystkie mechanizmy kontrolne z wersji 2013 zostały przeanalizowane, poprawione bądź zmodyfikowane. Załącznik B do ISO 27002 mapuje mechanizmy kontrolne pomiędzy wersjami normy z 2013 i 2022 r.
W nowej wersji:
• 11 nowych mechanizmów kontrolnych aktualizuje standard do obecnego stanu wiedzy o bezpieczeństwie informacji i cyberbezpieczeństwie:
• Threat Intelligence — rozpoznanie zagrożeń i zrozumienie atakujących i ich metod:
- Bezpieczeństwo informacji przy korzystaniu z usług w chmurze.
- Gotowość ICT do ciągłości działania.
- Monitorowanie bezpieczeństwa fizycznego.
- Zarządzanie konfiguracją.
- Usuwanie informacji.
- Maskowanie danych.
- Zapobieganie wyciekom danych.
- Monitorowanie zdarzeń w sieciach, systemach i aplikacjach.
- Filtrowanie stron internetowych.
- Bezpieczne kodowanie.
• 57 mechanizmów z wersji 2013 zostało scalone w 24.
• Liczba zabezpieczeń została zmniejszona, żadne z nich nie zostało jednak wykluczone.
• 35 zabezpieczeń pozostało bez zmian, zmieniając jedynie numer kontrolny.
• Zestawy zabezpieczeń zostały podzielone na cztery (4) dziedziny zamiast czternastu (14):
- Organizacyjne
- Ludzie
- Fizyczne
- Technologiczne
• Mechanizmy kontrolne w najnowszej wersji ISO/IEC 27002 mają dwa nowe elementy:
- Uzasadnienie zabezpieczenia zamiast określenia celu zabezpieczeń jak w poprzedniej wersji
- Atrybuty zabezpieczeń, które pozwalają na kategoryzację zabezpieczeń.
- Typ zabezpieczenia
- Właściwości bezpieczeństwa informacji
- Koncepcje bezpieczeństwa cybernetycznego
- Możliwości operacyjne
- Domeny bezpieczeństwa
W nowej wersji normy ISO/IEC 27002:2022 zmniejszyła się liczba zabezpieczeń ze 114 do 93. Zabezpieczenia to środki, które modyfikują lub utrzymują ryzyko.
Jak przygotować się do wdrożenia nowej normy ISO 27002:2022?
1. Przeanalizuj luki w obecnych w organizacji mechanizmach kontrolnych w stosunku do nowych mechanizmów kontrolnych.
2. Oszacuj ryzyko, uwzględniając uaktualnione zabezpieczenia ISO/IEC 27002:2022.
3. Zmapuj zabezpieczenia między ISO/IEC 27002:2013 i ISO/IEC 27002:2022 za pomocą załącznika B.
4. Ustal, które zabezpieczenia mają zastosowanie i odpowiednio zaktualizuj System Zarządzania Bezpieczeństwem Informacji.
5. Zaktualizuj Deklarację Stosowania.
6. Przejrzyj i zaktualizuj program audytów wewnętrznych pod kątem nowych zabezpieczeń.
7. Upewnij się, że wskaźniki bezpieczeństwa są aktualizowane zgodnie z nowym szacowaniem ryzyka i zabezpieczeniami.
8. Zaktualizuj i przejrzyj standardy, procedury i polityki zgodnie ze zmianami w środowisku.
9. Zaktualizuj szacowanie ryzyka w organizacji, stosownie do aktualizacji istniejących zabezpieczeń.
10. Sprawdź wszystkie narzędzia do wykazywania zgodności, czy obsługują nowe zmiany.
Pamiętaj, że:
W nowej wersji normy ISO/IEC 27002:2022 zmniejszyła się liczba zabezpieczeń ze 114 do 93. Zabezpieczenia to środki, które modyfikują lub utrzymują ryzyko.
Nowa norma ISO/IEC 27002:2022 - kogo dotyczy?
Nowelizacja ISO 27002:2022 dotyczy Twojej organizacji:
- Jeśli zamierzasz dokonać certyfikacji ISO 27001:2013,
- Jeśli posiadasz już certyfikat ISO 27001:2013,
- Jeśli jesteś w trakcie certyfikacji ISO 27001:2013,
- Jeśli zamierzasz dokonać ponownej certyfikacji ISO 27001:2013.
Jeśli Twoja organizacja posiada już certyfikat ISO/IEC 27001, zaktualizowana norma ISO/IEC 27002:2022 będzie mieć wobec Twojej organizacji zastosowanie przy odnowieniu/ponownej certyfikacji ISO 27001. Wszystkie certyfikowane organizacje muszą z czasem przygotować się do ISO/IEC 27002:2022.
Jeżeli Twoja organizacja jest już w trakcie procesu certyfikacji ISO 27001 2013 lub ponownej certyfikacji, to powinieneś ponownie:
- oszacować ryzyko,
- zidentyfikować nowe mechanizmy kontrolne, które mają zastosowanie,
- zweryfikować Deklarację Stosowania poprzez porównanie zrewidowanych mechanizmów kontrolnych z załącznika A.
Uwaga: zmiany w normie ISO 27001!
25.10.2022 Międzynarodowa Organizacja Normalizacyjna (ISO) opublikowała najnowsze wydanie normy ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements określającej wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji. Skuteczny System Zarządzania Bezpieczeństwem Informacji (SZBI) pozwala chronić takie aktywa, jak know-how, dane klientów, treści umów z kontrahentami, projekty nowych przedsięwzięć, znacząco usprawnia organizację pracy i zwiększa efektywność przedsiębiorstwa. ISO 27001 służy uszczelnieniu firmy fizycznie, ale przede wszystkim od strony teleinformatycznej. Certyfikacja SZBI na zgodność z ISO/IEC 27001:2022 ułatwia utrzymanie SZBI w dobrej kondycji, a zarazem stanowi ważną legitymację w relacjach biznesowych – zwiększa wiarygodność firmy i jej konkurencyjną przewagę na rynku.
Załącznik A do ISO/IEC 27001:2022 odwzorowuje ISO 27002:2022 w taki sposób, że jednemu rozdziałowi zalecenia z ISO 27002 odpowiada jedno wymaganie ww. załącznika. Dlatego zmiany w ISO/IEC 27001:2022 w stosunku do wersji z 2013 roku dotyczą głównie załącznika A, aby te ściśle powiązane ze sobą standardy pozostały spójne. Choć zmiany w ISO/IEC 27001:2022 dotyczą głównie nomenklatury i struktury dokumentu, w praktyce mogą wpływać na procedury działania w zakresie zabezpieczania informacji oraz postępowania w sytuacjach kryzysowych. Dlatego każda firma, która obecnie posiada certyfikat ISO 27001:2013 musi zweryfikować swój SZBI. Zmiany w zabezpieczeniach ujęte w załączniku A muszą znaleźć odzwierciedlenie w dokumentacji SZBI. W większości przypadków będzie to oznaczało dodanie opisu nowych procedur do już istniejących.
Ile mam czasu na aktualizację?
Jak w przypadku każdej nowelizacji norm ISO, organizacje mają trzy lata (do 31 października 2025 roku) na dostosowanie swoich systemów zarządzania do nowych wytycznych. Certyfikację ISO 27001 należy co trzy lata powtarzać, więc nie ma potrzeby wcześniejszej wymiany posiadanego już certyfikatu na ISO 27001:2022.
Warto jednak już teraz zaktualizować SZBI, by nieprzerwanie odwoływać się w swojej działalności do aktualnych na świecie praktyk ochrony informacji, a przy okazji dobrze przygotować się do najbliższego audytu ISO 27001:2022. Organizacje, które dotąd nie korzystały z jej wytycznych, mogą już teraz opracowywać SZBI pod kątem certyfikacyjnego audytu ISO 27001:2022 jednostki certyfikującej i ubiegać się o certyfikat ISO 27001:2022.
Chcesz wiedzieć więcej o normach ISO/IEC w zapewnianiu cyberbezpieczeństwa?
Opowiedz nam o swoich potrzebach, a zaproponujemy najlepsze rozwiązanie.