Normy ISO przechodzą cykl przeglądu systemowego co pięć-siedem lat. W marcu 2018 r. rozpoczęto ten proces dla ISO/IEC 27002. Nowa wersja standardu ISO/IEC 27002 została opublikowana 15 lutego 2022 r. Jest już dostępna do zakupu na stronie PKN.
Pojawia się jednak pytanie, co się zmieniło? Czego po nowej wersji mogą się spodziewać organizacje?
Zanim przejdziemy do analizy zmian, podsumujmy, czym jest ISO/IEC 27002. Oddzielny artykuł ISOQAR o tym standardzie znajdziesz TUTAJ.
Niezależnie od tego, czy system został już poddany certyfikacji w organizacji, przedsiębiorcy są świadomi jak wymagające i pracochłonne może być prawidłowe wdrożenie wymagań standardu. Aby wesprzeć ich w tym procesie, ISO publikuje wytyczne, pomagające w zrozumienie wymagań oraz celów stosowania zabezpieczeń.
Tym właśnie jest ISO/IEC 27002 - wytycznymi. ISO/IEC 27002 stanowi odniesienie przy określaniu i wdrażaniu zabezpieczeń do postępowania z ryzykiem związanym z bezpieczeństwem informacji w ISO/IEC 27001 (ISMS).
Poniżej znajduje się szczegółowe zestawienie zmian wprowadzonych w aktualizacji, aby odpowiedzieć na to pytanie.
Wersja ISO/IEC 27002 z 2022 r. zawiera szereg ulepszeń. Kluczowe elementy, które należy zrozumieć, obejmują zmiany w następujących obszarach:
Kategorie:
Zabezpieczenia zostały teraz podzielone na cztery kategorie:
Do normy zostały dołączone także:
Obydwa załączniki wydają się być przydatne w rozwianiu wątpliwości dotyczących standardu ISO/IEC 27001. Dopracowują także praktyczne zastosowanie zabezpieczeń, które zostały w nim ujęte. Ta nowa struktura ułatwia zrozumienie zastosowania zabezpieczeń, a także przydzielenie odpowiedzialności w organizacji.
W nowej wersji, została zmniejszona liczba zabezpieczeń z 114 do 93. Postęp technologiczny i poprawa zrozumienia, jak stosować praktyki bezpieczeństwa, wydają się być przyczyną tej redukcji.
W jaki sposób została uzyskana liczba 93 zabezpieczeń?
Wszystkie zabezpieczenia z wersji z 2013 r. zostały przeanalizowane, poprawione bądź zmodyfikowane, aby zapewnić ich lepsze dostosowanie do obecnego środowiska bezpieczeństwa informacji i bezpieczeństwa cybernetycznego.
Zabezpieczenia w nowej wersji ISO/IEC 27002 mają w swojej strukturze dwa nowe elementy:
Te dodatkowe elementy ułatwiają lepsze zrozumienie jak organizować i uzasadniać użycie zabezpieczeń.
Jeśli masz już certyfikowany System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO/IEC 27001, na razie nie musisz podejmować żadnych radykalnych działań. Bez względu na to, jakie zmiany przyniosła nowa wersja ISO/IEC 27002, dla certyfikowanych firm obowiązywać będzie 2-letni okres przejściowy. Okres ten rozpocznie się jednak dopiero po oficjalnej aktualizacji ISO/IEC 27001.
I tu właśnie nowa norma ISO/IEC 27002 przyniesie największą wartość – w okresie przejściowym organizacje będą miały do wyboru wiele usprawnionych, zoptymalizowanych praktyk, a także nowy zestaw atrybutów, dzięki którym wybór zabezpieczeń będzie bardziej skuteczny i prosty.
Nowa norma ISO/IEC 27002:2022 jest kompleksowa, jej stworzenie wyraźnie wymagało znacznych nakładów pracy ze strony ISO, komitetów, ekspertów i członków.
Ta najnowsza aktualizacja z pewnością pomoże tym, którzy już korzystają z ISO/IEC 27002, a także osobom poszukującym ram bezpieczeństwa informacji, bezpieczeństwa cybernetycznego i ochrony prywatności. Celem normy jest wspomaganie organizacji w realizacji celów bezpieczeństwa informacji, które przyczyniają się do zwiększenia efektywności i skuteczności działań całego przedsiębiorstwa.