Co warto wiedzieć o zmianach w ISO 27002:2022
Zwyczajowo co 5 – 7 lat dokonuje się przeglądu standardów ISO. Prace nad rewizją ISO 27002 rozpoczęto w marcu 2018 r., czyli po pięciu latach od poprzedniego wydania. W styczniu 2021 r opublikowano projekt normy, a w kwietniu 2021 r. proces aktualizacji został zakończony.
Zaktualizowana norma ISO 27002 jest dostępna od połowy lutego 2022 r. Jej obecna nazwa to: „Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – zabezpieczenia”.
Co to jest ISO 27002?
Przypomnijmy w skrócie, czym jest ISO 27002.
Jest to międzynarodowa norma definiująca ogólne zabezpieczenia i wspierająca zgodność z wymaganiami załącznika A do ISO/IEC 27001.
Być może Twoja organizacja certyfikowała się już na zgodność z normami ISO lub planuje takie działania. Do najbardziej rozpowszechnionych standardów publikowanych przez ISO należą te, które dotyczą systemów zarządzania. Można zaliczyć do nich np. ISO 9001, które odnosi się do systemu zarządzania jakością, czy ISO 45001 dotyczące systemu zarządzania bezpieczeństwem i higieną pracy.
Niektórym standardom adresowanym do systemów zarządzania towarzyszą takie, które zawierają wytyczne wdrażania tych systemów. Należy do nich ISO 27002 – norma towarzysząca ISO 27001, zawierająca wytyczne dotyczące wdrażania Systemu Zarządzania Bezpieczeństwem Informacji wg ISO 27001.
Warto przy okazji wspomnieć o bardzo ciekawie skonstruowanej normie ISO 27701, która zawiera zarówno wymagania, jak i wytyczne dotyczące Systemu Zarządzania Ochroną Prywatności.
Podsumowanie: Standard ISO 27002 stosuje się jako punkt odniesienia i swego rodzaju drogowskaz przy określaniu i wdrażaniu zabezpieczeń i postępowania związanego z ryzykiem w kontekście bezpieczeństwa informacji w Systemie Zarządzania Bezpieczeństwem Informacji wg ISO 27001 (SZBI). Zapewnia najlepsze praktyki i wsparcie dla tych, którzy projektują SZBI, aby spełnić wymagania normy opartej na Załączniku A (który również zostanie wkrótce zaktualizowany w zmienionej wersji ISO 27001).
Co zostało zmienione w normie ISO 27002?
Rewizja normy ISO 27002 zaowocowała szeregiem udoskonaleń.
Do podstawowych zmian należą:
I. Zmiany strukturalne
Standard ISO 27002:2022 opisuje 93 zabezpieczenia, które zostały pogrupowane w 4 kategorie:
a) organizacyjne (37),
b) dotyczące zasobów ludzkich (8),
c) fizyczne (14) oraz
d) technologiczne (34).
Każde zabezpieczenie powiązane jest z atrybutami. Pozwala to na ustandaryzowany sposób ich sortowania lub filtrowania.
Atrybuty te to:
- Typy zabezpieczeń: to atrybut, za pomocą którego można rozpatrywać zabezpieczenie pod kątem tego, jak zmienia ono ryzyko w odniesieniu do wystąpienia incydentu związanego z bezpieczeństwa informacji.
Wartości atrybutów mogą być:
a) zapobiegawcze,
b) reaktywne lub
c) korygujące.
- Właściwości bezpieczeństwa informacji: to atrybut, za pomocą którego można rozpatrywać zabezpieczenia zgodnie z aspektami:
a) poufności,
b) integralności lub
c) dostępności.
- Koncepcje cyberbezpieczeństwa podzielone są na:
a) identyfikacja,
b) ochrona,
c) wykrywanie,
d) reagowanie,
e) przywracanie.
Należy więc zdefiniować atrybuty w oparciu o ISO/IEC TS 27100. - Możliwości operacyjne.
- Domeny zabezpieczeń.
Poprzednia wersja normy ISO 27002 zawierała 114 zabezpieczeń podzielonych na 11 obszarów. Spośród nich pominięto jedno zabezpieczenie (dotyczące aktywów), a inne zabezpieczenia zostały zgrupowane razem. Przyczyniło się to do zapewnienia normie większej przejrzystości.
II. Uzupełnienie zabezpieczeń:
Oprócz zmian dotyczących struktury ISO 27002, zespół zajmujący się aktualizacją normy, uzupełnił ją o kilka celów zabezpieczeń m.in. w takich obszarach jak:
- Analiza zagrożeń,
- Bezpieczeństwo informacji podczas korzystania z usług chmurowych,
- Gotowość ICT (ang. Information and Communications Technology) do ciągłości działania,
- Monitorowanie bezpieczeństwa fizycznego,
- Zarządzanie konfiguracją.
Konsekwencje zmian w normie ISO 27002
Zmiana strukturalna ISO 27002 pociąga za soba konieczność przeglądu ISO 27001, a w szczególności załącznika A – w celu utrzymania zgodności obu norm. W związku z tym
należy spodziewać się wkrótce nowej wersji ISO 27001. Można oczekiwać przyspieszenia działań w tym zakresie, aby czas odchyleń obu norm był jak najkrótszy.
Zgodnie z postanowieniami Międzynarodowego Forum Akredytacyjnego (IAF) firmy, które już wdrożyły System Zarządzania Bezpieczeństwem Informacji według ISO 27001, powinny zapoznać się z nowymi celami stosowania zabezpieczeń i wdrożyć je do dwóch lat (od miesiąca faktycznej publikacji nowej normy).
W przypadku organizacji, które rozważają certyfikację na zgodność z normą ISO 27001, wskazane jest wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z nową strukturą ISO 27002:2022.
Trzymaj „rękę na pulsie”
Jeżeli myślisz o wdrożeniu i certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z ISO 27001, weź pod uwagę zmiany wprowadzone w normie ISO 27002:2022 zarówno w zakresie jej struktury, jak i treści.
Warto zaznaczyć, że CIS-CERT jako akredytowana jednostka certyfikująca w dziedzinie bezpieczeństwa informacji, od samego początku aktywnie uczestniczy w grupach roboczych zaangażowanych w aktualizacje standardów, w tym również w rewizję normy ISO 27002.
Obecnie intensywnie pracujemy nad wdrożeniem nowej wersji ISO 27002:2022 we wszystkich naszych usługach (certyfikacja, audyty i szkolenia).
Dzięki naszemu udziałowi w przeglądach systemowych dotyczących norm ISO, możemy Cię na bieżąco informować o postępach prac i zachodzących w normach zmianach.
Więcej informacji na temat szczegółowych zmian w normie ISO 27002 uzyskasz uczestnicząc w szkoleniach CIS https://cis-cert.com.pl/szkolenia/
Osoby chcące poszerzyć wiedzę o normach ISO 27001 i ISO 27002 oraz zdobyć praktyczne umiejętności dotyczące budowania i zarządzania Systemem Bezpieczeństwa Informacji w organizacji zapraszamy na szkolenie “Manager bezpieczeństwa informacji wg ISO 27001”.