Bezpečnost informací – nová verze normy 27002

Uvažujete o zavedení, zavádíte či udržujete Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000? 

Pak by vás mělo zajímat, že po dlouhých devíti letech byl v únoru 2022 aktualizován standard ISO/IEC 27002. Aktualizace přinesla řadu změn. Nově zavádí kategorie, atributy a pokroková opatření, která umožňují reagovat na aktuální nástrahy bezpečnosti informací.

První změny si zajisté všimnete již v úvodu. Samotný název normy totiž dostal novou textaci „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Kontroly bezpečnosti informací“ (Information security, cybersecurity and privacy protection – Information security controls).

Autoři se odklonili od označení „Soubor postupů“/“Code of practise“, címž lépe vystihli účel normy, která slouží jako referenční dokument pro výběr kontrolních mechanismů k řízení bezpečnosti informací.

Významné změny

Verze ISO/IEC 27002:2022 se dočkala výrazného prodloužení proti předchozí ISO/IEC 27002:2013. Důležitou změnou je zařazení bezpečnostních opatření do 4 oblastí/kategorií namísto původních 14 klauzulí.

Některá opatření byla sloučena, přibyla nová a jiná zanikla. Nově norma obsahuje 93 opatření místo původních 114. Mezi zcela nová opatření patří:  

  • Správa hrozeb (shromažďování a analýza)
  • Bezpečnost informací v rámci využívání cloudových služeb
  • Připravenost ICT pro kontinuitu provozu
  • Monitorovací aktivity
  • Správa konfigurace
  • Mazání informací
  • Maskování dat
  • Prevence úniku dat
  • Filtrování webu
  • Bezpečné kódování

Ke každému opatření se vztahuje pět atributů, které usnadňují jejich kategorizaci, přičemž jedno opatření může mít přiřazeno více atributů ze stejné skupiny:

  • Druh opatření – preventivní, detektivní, nápravné
  • Vlastnosti bezpečnosti informací – důvěrnost, integrita, dostupnost
  • Fáze kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova
  • Operační schopnosti – řízení, správa aktiv, ochrana informací, administrativní/personální/fyzická/technická bezpečnost
  • Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost

Subjekt si může zvolit i další atributy pro efektivnější správu bezpečnostních opatření (například stupeň vyspělosti opatření, prioritu, stav implementace atp.).

Rovněž lze definovat i další opatření, která jsou specifická pro daný subjekt. Také je možno využít opatření pro řízení identifikovatelných rizik, která jsou uvedená v dalších odvětvových normách. Jedná se například o normu pro:

  • cloudové služby ISO/IEC 27017
  • ochranu soukromí ISO/IEC 27701
  • energetický průmysl ISO/IEC 27019
  • telekomunikační organizace ISO/IEC 27011
  • zdravotnické organizace ISO 27799

Další výraznou změnou je rozdělení aktiv na primární a podpůrná. Mezi primární aktiva se řadí podnikové procesy, aktivity a informace. Jedná se o prvky, které jsou závislé na podpůrných aktivech, kam patří HW, SW, síťová infrastruktura, personál, organizační struktura, objekty apod.

Brzy se dočkáme aktualizace normy ISO/IEC 27001

Snad ještě letos vyjde také aktualizace normy ISO/IEC 27001, která klade požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému řízení, které musí být splněny, aby společnost získala certifikát o shodě od akreditovaného certifikačního orgánu. 

Tento release spolu s aktualizovaným ISO/IEC 27002 položí základ pro nový pohled na informační a kybernetickou bezpečnost a s tím související požadavky na subjekty, ale i specialisty z těchto oblastí. 

Držte krok s novými verzemi! Bude potřeba upravit ISMS dokumentaci. S tím vám tým společnosti Q – COM rád pomůže.

Starosti vyřešíme za vás.

Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.