Norma ISO/IEC 27001 jest jedną z najważniejszych standardów z zakresu bezpieczeństwa informacji, które stosowane są na całym świecie. Wydana w roku 2022 norma ISO/IEC 27001 to międzynarodowy standard, który określa wymagania dla systemów zarządzania bezpieczeństwem informacji. Wersja ta zastępuje poprzednią wersję normy z 2013 roku i wprowadza szereg zmian, które mają na celu lepsze dopasowanie standardu do obecnych wyzwań związanych z bezpieczeństwem informacji.
Oznacza to początek 3-letniego okresu przejściowego dla firm, które mają wdrożony i certyfikowany System Zarządzania Bezpieczeństwem Informacji. To właśnie SZBI pozwala na dostosowanie się do nowych wymagań.
JAKIE ZMIANY WPROWADZA ISO/IEC 27001:2022?
Celem normy ISO/IEC 27001:2022 jest pomóc organizacjom w zapewnieniu, że informacje, które przetwarzają, są chronione przed zagrożeniami, takimi jak cyberataki, kradzież danych, nieautoryzowany dostęp czy awarie systemów informatycznych. Norma ta opiera się na podejściu ryzyka, które polega na identyfikowaniu, ocenie i zarządzaniu ryzykiem bezpieczeństwa informacji.
Aktualizacja wymagań ISO/IEC 27001 ma na celu dopasowanie ich do zmieniającej się sytuacji w świecie technologii i cyfryzacji. Organizacje i przedsiębiorstwa, które stosują te normy, powinny wdrożyć nowe wymagania i uaktualnić swoje systemy zarządzania bezpieczeństwem informacji. To pozwoli na zwiększenie skuteczności działań związanych z ochroną danych i zminimalizowanie ryzyka cyberataków.
Zmiany w wymaganiach dotyczących systemu zarządzania bezpieczeństwem informacji są w zasadzie kosmetyczne i podyktowane lepszym dopasowaniem do założeń High Level Stucture załącznika normatywnego SL dotyczącego struktury wymagań norm dotyczących systemów zarządzania. |
CO WARTO WIEDZIEĆ O KLUCZOWYCH ZMIANACH W ZAŁĄCZNIKU NORMATYWNYM A DO NORMY ISO/IEC 27001?
Kluczowe zmiany zostały wprowadzone w załączniku normatywnym A do normy ISO/IEC 27001 na bazie wytycznych zaktualizowanej normy ISO/IEC 27002:2022, które dotyczyły zmiany struktury zabezpieczeń i ich liczby. Zamiast 114 zabezpieczeń w 13 grupach wprowadzono 93 zabezpieczenia w 4 grupach. Połączono 24 zabezpieczenia, a 58 dotychczas obowiązujących zabezpieczeń zaktualizowano.
W ramach nowej struktury pozostawiono tylko 4 grupy zabezpieczeń:
- zabezpieczenia organizacyjne – zawierających 37 zabezpieczeń (np. polityki, zwrot aktywów, bezpieczeństwo informacji przy korzystaniu z usług w chmurze),
- zabezpieczenia osobowe – zawierających 8 zabezpieczeń (np. praca zdalna, monitorowanie, umowy o zachowaniu poufności),
- zabezpieczenia fizyczne – zawierających 14 zabezpieczeń (np. nośniki pamięci, konserwacja sprzętu, monitorowanie bezpieczeństwa fizycznego lub zabezpieczenie biur, pomieszczeń i obiektów),
- zabezpieczenia technologiczne – zawierających 44 zabezpieczeń (np. bezpieczne uwierzytelnianie, usuwanie informacji, zapobieganie wyciekom danych lub rozwój zlecony na zewnątrz).
Dotychczasowe wszystkie zabezpieczenia w zasadzie pozostały w nowej normie. Zmieniło się jednak podejście, część zabezpieczeń zostało połączonych i dodano 11 nowych zabezpieczeń dotyczących:
- analizy zagrożeń,
- bezpieczeństwa informacji przy korzystaniu z usług chmurowych,
- gotowości teleinformatycznej do zapewnienia ciągłości działania,
- monitorowania bezpieczeństwa fizycznego,
- zarządzania konfiguracją,
- usuwania informacji,
- maskowania danych,
- zapobiegania wyciekom danych,
- działaniom monitorującym,
- filtrowania sieci,
- bezpiecznego kodowania.
Przy okazji warto wspomnieć o nowym podejściu w normie ISO/IEC 27002:2022, co pozwoli zrozumieć stosowanie zabezpieczeń załącznika A do ISO/IEC 27001:2022. |
CZEMU SŁUŻĄ ATRYBUTY, KTÓRE WPROWADZONO PO RAZ PIERWSZY?
Po raz pierwszy wprowadzono atrybuty do podejmowania decyzji o wdrożeniu zabezpieczeń.
Są to:
- Rodzaje zabezpieczeń – atrybut umożliwiający ocenę zabezpieczenia z perspektywy tego, kiedy i jak dany środek zmienia ryzyko związane z wystąpieniem incydentu bezpieczeństwa informacji.
- Właściwości bezpieczeństwa informacji – atrybut pozwalający spojrzeć na zabezpieczenia z perspektywy tego, jaki cel zabezpieczenia ma wspierać dany środek.
- Koncepcje cyberbezpieczeństwa – atrybut pozwalający spojrzeć na zabezpieczenia z perspektywy tego, jak odwzorowują one ramy bezpieczeństwa cybernetycznego opisane w ISO/IEC TS 27110.
- Zdolności operacyjne – atrybut rozpatrujący zabezpieczenia z perspektywy ich operacyjnych możliwości w zakresie bezpieczeństwa informacji i wspierający praktyczne spojrzenie na stosowane środki.
- Domeny bezpieczeństwa – atrybut, który pozwala na postrzeganie zabezpieczeń z perspektywy domen bezpieczeństwa informacji jak: zarządzanie i ekosystem, ochrona, obrona, odporność.
Wnioski wynikające z wprowadzenia zmian w ISO/IEC 27001 są jasne. W dzisiejszym świecie, w którym cyberzagrożenia stają się coraz bardziej powszechne, organizacje i przedsiębiorstwa muszą być na bieżąco z najnowszymi standardami bezpieczeństwa informacji. |
Wprowadzenie zmian w normach ISO/IEC 27001 pozwoli na zwiększenie skuteczności działań związanych z ochroną danych i minimalizację ryzyka cyberataków. Wszystkie te zmiany w normie ISO/IEC 27001:2022 mają na celu poprawę bezpieczeństwa informacji w organizacjach.
NIE SPUSZCZAJ BEZPIECZEŃSTWA FIRMY Z OKA – SZKOLENIA AKTUALIZACYJNE CIS TO JEDNODNIOWE SPOTKANIA ONLINE
Jeżeli myślisz o wdrożeniu i certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z ISO 27001:2022, to weź pod uwagę zmiany wprowadzone w normie ISO 27002:2022 zarówno w zakresie jej struktury, jak i treści.
Obecnie mierzenie się z nowymi rodzajami zagrożeń i wzrastającą liczbą incydentów bezpieczeństwa jest codziennością Jest na to rada – CIS Update to dwa szkolenia aktualizacyjne ze zmian w normach ISO 27001 i ISO 27002, dzięki którym żaden atak nie będzie Ci straszny.
Dzięki CIS szkoleniom aktualizacyjnym w kontekście zmian w normie:
– ISO/IEC 27001:2022 – przegląd aktualizacji normy i przejście na nową normę >> Zmiany w ISO 27001:2022 – CIS – Certification Information Security
– ISO/IEC 27002:2022 – zmiany w normie i szczegółowe omówienie zabezpieczeń >> Zmiany w ISO 27002:2022 – CIS – Certification Information Security
Skutecznie wyeliminujesz zagrożenia.
Warto zaznaczyć, że CIS Certification & Information Security Services jako akredytowana jednostka certyfikująca w dziedzinie bezpieczeństwa informacji, aktywnie uczestniczy w grupach roboczych zaangażowanych w aktualizacje standardów, w tym również rewizję normy ISO/IEC 27001 i ISO/IEC 27002.
Autor: Artur Jabłoński – trener na stałe współpracujący z CIS Certification & Information Security Services