Nadchodzą zmiany ISO/IEC 27001:2022

Co się zmienia?

Zmian jest bardzo dużo, począwszy od nazwy, która obecnie oddaje rozszerzony zakres standardu:

• ISO/IEC 27001:2013 – Information technology —Security techniques — Information security management systems — Requirements
• ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection — Information security management systems — Requirements

Przez terminologię, w której pojawiły się odwołania do bazy terminów/definicji utrzymywanych przez ISO w wersji elektronicznej:

• IEC Electropedia – https://www.electropedia.org/
• ISO Online Browsing Platform (OBP) – https://www.iso.org/obp/ui

Po zmiany w samych wymaganiach standardu i załączaniu A (zabezpieczeniach).

W części ogólnej normy wprowadzono drobne zmiany w punktach 4.2, 4.4, 6.2, 7.4, 8.1, 9.1, 9.3 oraz dodano nowy punkt 6.3.Jednak największą rewolucję przeszedł załącznik A do standardu. Zawierał on dotychczas 114 zabezpieczeń podzielonych na 14 sekcji (od A.5 do A.18). Natomiast w nowym wydaniu mamy wyłącznie 4 sekcje (organizacyjne, odnoszące się do zasobów ludzkich, fizyczne i technologiczne środki bezpieczeństwa) oraz wyłącznie 93 zabezpieczenia.

W naszej ocenia zdecydowanie tak, ponieważ:

• 57 zabezpieczeń ze starego standardu zostało połączonych w 24 nowe (bez wpływu na ich merytoryczny zakres).
• 23 zabezpieczenia zmieniły swoje nazwy, jednak ich przeznaczenie pozostało takie samo jak w poprzedniej wersji standardu.
• powstało 11 zupełnie nowych zabezpieczeń

11 nowych zabezpieczeń

Nowe zabezpieczenia w zdecydowanej większości odnoszą się do obszaru technologicznego / teleinformatycznego (7 z 11). Dodatkowo fani RODO, z pewnością też wyłapią ukłon w stronę wymagań GDPR 😉.

Do nowych zabezpieczeń należą:

• 7.4 Monitorowanie bezpieczeństwa fizycznego (Physical security monitoring)
• 5.7 Rozpoznawanie zagrożeń (Threat intelligence)​
• 5.23 Bezpieczeństwo informacji przy korzystaniu z usług w chmurze (Information seciurity for use cloud services)
• 5.30 ICT gotowość do ciągłości działania (ICT readiness for business continuity)
• 8.9 Zarządzanie konfiguracją (Configuration management)​
• 8.10 Usuwanie informacji (Information deletion ) ​
• 8.11 Maskowanie danych (Data masking) ​
• 8.12 Zapobieganie wyciekom danych (Data leakage prevention) ​
• 8.16 Monitorowanie aktywności (Monitoring activitis
• 8.23 Filtrowanie stron internetowych (Web filtering) ​
• 8.28 Bezpieczne kodowanie (Secure coding)

Jeśli posiadasz wdrożony w swojej organizacji Standard ISO 27001, przed tobą w przeciągu najbliższych 2 lat:

• Przegląd i aktualizacja dokumentacji SZBI, ze względu na konieczność jej dostosowania do nowej struktury i numeracji zabezpieczeń, w tym w szczególności:
  • Deklaracji Stosowania (SoA)
  • Raportu z Przeglądu Zarządzania
  • Celów SZBI
  • Procedury monitorowania, pomiarów i oceny skuteczności SZBI
• Przeprowadzenie procesu analizy ryzyka w celu doboru właściwego sposobu wdrożenia nowych zabezpieczeń.
• Ocena konieczności wdrożenia technicznych rozwiązań adresujących nowe zabezpieczenia (SIEM, EDR, DLP).
• Przeprowadzenie szkoleń dla pracowników

Na przełomie roku 2022 i 2023 jako Blue Energy planujemy 2 wydarzenie z cyklu „Nadchodzą zmiany ISO/IEC 27001:2022”, na którym w szczegółach omówimy co w normie się zmieniło. Wydarzenie jest darmowe i jeśli chcesz wziąć w nim udział zapisz się już dziś! Wystarcz, że skontaktujesz się z nami przez stronę www lub pocztę e-mail.