ISO/IEC 27002:2022: Jak zrozumieć aktualizację?
Skontaktuj się z nami
Menu
PLENUA
Home/Baza wiedzy/Zarządzanie informacją/ISO/IEC 27002:2022: Jak zrozumieć aktualizację?

ISO/IEC 27002:2022: Jak zrozumieć aktualizację?

Normy ISO przechodzą cykl przeglądu systemowego co pięć-siedem lat. W marcu 2018 r. rozpoczęto ten proces dla ISO/IEC 27002. Nowa wersja standardu ISO/IEC 27002 została opublikowana 15 lutego 2022 r. Jest już dostępna do zakupu na stronie PKN.

 

Pojawia się jednak pytanie, co się zmieniło? Czego po nowej wersji mogą się spodziewać organizacje?

 

Czym jest ISO/IEC 27002?

 

Zanim przejdziemy do analizy zmian, podsumujmy, czym jest ISO/IEC 27002. Oddzielny artykuł ISOQAR o tym standardzie znajdziesz TUTAJ.

 

Niezależnie od tego, czy system został już poddany certyfikacji w organizacji, przedsiębiorcy są świadomi jak wymagające i pracochłonne może być prawidłowe wdrożenie wymagań standardu. Aby wesprzeć ich w tym procesie, ISO publikuje wytyczne, pomagające w zrozumienie wymagań oraz celów stosowania zabezpieczeń.

 

Tym właśnie jest ISO/IEC 27002 - wytycznymi. ISO/IEC 27002 stanowi odniesienie przy określaniu i wdrażaniu zabezpieczeń do postępowania z ryzykiem związanym z bezpieczeństwem informacji w ISO/IEC 27001 (ISMS).

 

Jakie pojawiły się zmiany w ISO/IEC 27002:2022?

 

Poniżej znajduje się szczegółowe zestawienie zmian wprowadzonych w aktualizacji, aby odpowiedzieć na to pytanie.

 

Wersja ISO/IEC 27002 z 2022 r. zawiera szereg ulepszeń. Kluczowe elementy, które należy zrozumieć, obejmują zmiany w następujących obszarach:

 

Kategorie:

Zabezpieczenia zostały teraz podzielone na cztery kategorie:

  1. Organizacja bezpieczeństwa informacji
  2. Bezpieczeństwo zasobów ludzkich
  3. Bezpieczeństwo fizyczne
  4. Bezpieczeństwo technologiczne

 

Do normy zostały dołączone także:

  • Załącznik A – Korzystanie z atrybutów
  • Załącznik B – Korelacja ISO/IEC 27002:2022 z ISO/IEC 27002:2013

 

Obydwa załączniki wydają się być przydatne w rozwianiu wątpliwości dotyczących standardu ISO/IEC 27001. Dopracowują także praktyczne zastosowanie zabezpieczeń, które zostały w nim ujęte. Ta nowa struktura ułatwia zrozumienie zastosowania zabezpieczeń, a także przydzielenie odpowiedzialności w organizacji.

 

Liczba zabezpieczeń:

 

W nowej wersji, została zmniejszona liczba zabezpieczeń z 114 do 93.  Postęp technologiczny i poprawa zrozumienia, jak stosować praktyki bezpieczeństwa, wydają się być przyczyną tej redukcji.

 

W jaki sposób została uzyskana liczba 93 zabezpieczeń?

  • Nowe zabezpieczenia: 11 nowych zabezpieczeń pomaga zaktualizować standard do obecnego środowiska bezpieczeństwa informacji i bezpieczeństwa cybernetycznego
  • Scalone zabezpieczenia: 57 zabezpieczeń z wersji 2013 zostało scalone w 24. Zmiany pomagają utrzymać koncentrację na aspektach bezpieczeństwa informacji w procesach i działaniach biznesowych, zmniejszając wysiłek związany z wdrożeniem i utrzymaniem SZBI
  • Wykluczenie zabezpieczeń: Pomimo tego, że liczba zabezpieczeń została zmniejszona, żadne z nich nie zostało wykluczone w nowej wersji, połączono je tylko w celu zwiększenia przejrzystości i ułatwienia zrozumienia normy,
  • Zabezpieczenia, które pozostały takie same: 35 zabezpieczeń pozostało bez zmian, zmieniając jedynie numer kontrolny.

 

Wszystkie zabezpieczenia z wersji z 2013 r. zostały przeanalizowane, poprawione bądź zmodyfikowane, aby zapewnić ich lepsze dostosowanie do obecnego środowiska bezpieczeństwa informacji i bezpieczeństwa cybernetycznego.

 

Elementy zabezpieczeń

 

Zabezpieczenia w nowej wersji ISO/IEC 27002 mają w swojej strukturze dwa nowe elementy:

  • Zastosowanie - element wprowadzający uzasadnienie zastosowania zabezpieczenia, zamiast określenia celu zabezpieczeń, jak było to w poprzedniej wersji.
  • Atrybuty zabezpieczeń: Intencją jest ulepszenie podejścia do oceny ryzyka i zarządzania nim, umożliwiające organizacjom tworzenie kategoryzacji zabezpieczeń z indywidualnej perspektywy specjalistów firmy.

 

Te dodatkowe elementy ułatwiają lepsze zrozumienie jak organizować i uzasadniać użycie zabezpieczeń.

 

ISO/IEC 27002:2022 kolejne kroki do podjęcia

 

Jeśli masz już certyfikowany System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO/IEC 27001, na razie nie musisz podejmować żadnych radykalnych działań. Bez względu na to, jakie zmiany przyniosła nowa wersja ISO/IEC 27002, dla certyfikowanych firm obowiązywać będzie 2-letni okres przejściowy. Okres ten rozpocznie się jednak dopiero po oficjalnej aktualizacji ISO/IEC 27001.

 

I tu właśnie nowa norma ISO/IEC 27002 przyniesie największą wartość – w okresie przejściowym organizacje będą miały do wyboru wiele usprawnionych, zoptymalizowanych praktyk, a także nowy zestaw atrybutów, dzięki którym wybór zabezpieczeń będzie bardziej skuteczny i prosty.

 

Nowa norma ISO/IEC 27002:2022 jest kompleksowa, jej stworzenie wyraźnie wymagało znacznych nakładów pracy ze strony ISO, komitetów, ekspertów i członków.

 

Ta najnowsza aktualizacja z pewnością pomoże tym, którzy już korzystają z ISO/IEC 27002, a także osobom poszukującym ram bezpieczeństwa informacji, bezpieczeństwa cybernetycznego i ochrony prywatności. Celem normy jest wspomaganie organizacji w realizacji celów bezpieczeństwa informacji, które przyczyniają się do zwiększenia efektywności i skuteczności działań całego przedsiębiorstwa.

 

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Mapa strony
ISOQAR CEE sp. z o.o z siedzibą w Warszawie, adres: ul. Wąwozowa 11, 02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, wysokość kapitału zakładowego: 50.000,00 zł

Projekt i realizacja:

Media Solutions Group&Web Development

Regulamin plików cookies

Polityka prywatności