Uvažujete o zavedení, zavádíte či udržujete Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000?
Pak by vás mělo zajímat, že po dlouhých devíti letech byl v únoru 2022 aktualizován standard ISO/IEC 27002. Aktualizace přinesla řadu změn. Nově zavádí kategorie, atributy a pokroková opatření, která umožňují reagovat na aktuální nástrahy bezpečnosti informací.
První změny si zajisté všimnete již v úvodu. Samotný název normy totiž dostal novou textaci „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Kontroly bezpečnosti informací“ (Information security, cybersecurity and privacy protection – Information security controls).
Autoři se odklonili od označení „Soubor postupů“/“Code of practise“, címž lépe vystihli účel normy, která slouží jako referenční dokument pro výběr kontrolních mechanismů k řízení bezpečnosti informací.
Významné změny
Verze ISO/IEC 27002:2022 se dočkala výrazného prodloužení proti předchozí ISO/IEC 27002:2013. Důležitou změnou je zařazení bezpečnostních opatření do 4 oblastí/kategorií namísto původních 14 klauzulí.
Některá opatření byla sloučena, přibyla nová a jiná zanikla. Nově norma obsahuje 93 opatření místo původních 114. Mezi zcela nová opatření patří:
- Správa hrozeb (shromažďování a analýza)
- Bezpečnost informací v rámci využívání cloudových služeb
- Připravenost ICT pro kontinuitu provozu
- Monitorovací aktivity
- Správa konfigurace
- Mazání informací
- Maskování dat
- Prevence úniku dat
- Filtrování webu
- Bezpečné kódování
Ke každému opatření se vztahuje pět atributů, které usnadňují jejich kategorizaci, přičemž jedno opatření může mít přiřazeno více atributů ze stejné skupiny:
- Druh opatření – preventivní, detektivní, nápravné
- Vlastnosti bezpečnosti informací – důvěrnost, integrita, dostupnost
- Fáze kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova
- Operační schopnosti – řízení, správa aktiv, ochrana informací, administrativní/personální/fyzická/technická bezpečnost
- Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost
Subjekt si může zvolit i další atributy pro efektivnější správu bezpečnostních opatření (například stupeň vyspělosti opatření, prioritu, stav implementace atp.).
Rovněž lze definovat i další opatření, která jsou specifická pro daný subjekt. Také je možno využít opatření pro řízení identifikovatelných rizik, která jsou uvedená v dalších odvětvových normách. Jedná se například o normu pro:
- cloudové služby ISO/IEC 27017
- ochranu soukromí ISO/IEC 27701
- energetický průmysl ISO/IEC 27019
- telekomunikační organizace ISO/IEC 27011
- zdravotnické organizace ISO 27799
Další výraznou změnou je rozdělení aktiv na primární a podpůrná. Mezi primární aktiva se řadí podnikové procesy, aktivity a informace. Jedná se o prvky, které jsou závislé na podpůrných aktivech, kam patří HW, SW, síťová infrastruktura, personál, organizační struktura, objekty apod.
Brzy se dočkáme aktualizace normy ISO/IEC 27001
Snad ještě letos vyjde také aktualizace normy ISO/IEC 27001, která klade požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému řízení, které musí být splněny, aby společnost získala certifikát o shodě od akreditovaného certifikačního orgánu.
Tento release spolu s aktualizovaným ISO/IEC 27002 položí základ pro nový pohled na informační a kybernetickou bezpečnost a s tím související požadavky na subjekty, ale i specialisty z těchto oblastí.
Držte krok s novými verzemi! Bude potřeba upravit ISMS dokumentaci. S tím vám tým společnosti Q – COM rád pomůže.
Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.