Spis treści
Posiadasz Certyfikat ISO 27001?
Jakie zmiany w 2022 roku? Porównanie wersji 2013 do 2022
Czym jest ISO 27001? https://pl.wikipedia.org/wiki/ISO/IEC_27001
Bezpieczeństwo informacji, to praktyka ochrony informacji poprzez ograniczanie ryzyka informacyjnego. Obejmuje procedury lub środki stosowane w celu ochrony danych elektronicznych przed nieupoważnionym dostępem. Kontrole bezpieczeństwa informacji to urządzenia lub oprogramowanie używane do egzekwowania zasad bezpieczeństwa w celu ochrony poufnych informacji przed nieautoryzowanym dostępem.
System Zarządzania Bezpieczeństwem Informacji (SZBI) to systematyczne podejście do zarządzania poufnymi informacjami firmowymi, tak aby pozostały one bezpieczne. Celem SZBI jest zminimalizowanie ryzyka naruszenia danych i innych incydentów związanych z bezpieczeństwem poprzez identyfikację, ocenę i postępowanie z zagrożeniami dla informacji.
ISO/IEC 27001 zapewnia organizacjom ramy zarządzania ryzykiem związanym z bezpieczeństwem informacji poprzez system zarządzania bezpieczeństwem informacji (ISMS) w kontekście organizacji. Nowa norma ISO/IEC 27001:2022 została opublikowana 25 października 2022 r., z niewielkimi zmianami w punktach, ale poważnymi zmianami w Załączniku A.
Jakie są główne zmiany w punktach normy ISO 27001:2022?
Zgodnie z Strukturą Wysokiego Poziomu Norm Systemu Zarządzania w ISO 27001:2022 wprowadzono drobne zmiany.
Zmiany te obejmują:
- Kontekst organizacji
„Odpowiednie” wymagania zainteresowanych stron powinny zostać zidentyfikowane i określone za pomocą Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
- Przywództwo
Bez większych zmian
- Planowanie
Cele bezpieczeństwa informacji są obecnie uważane za „udokumentowane informacje” i powinny być monitorowane i udostępniane. Dodano nową sekcję dotyczącą planowania zmian w SZBI jako „ 6.3 Planowanie zmian”
- Wsparcie
Połączenie 7.4.d i 7.4.e w zakresie sposobu komunikowania się w ramach planu komunikacji.
- Operacja
Istnieje wymóg ustalenia kryteriów dla procesów w celu wdrożenia kontroli procesu zgodnie z kryteriami. Istnieje wymóg kontrolowania „procesów, produktów lub usług dostarczanych z zewnątrz” związanych z SZBI, a nie tylko procesów.
- Ocena wydajności
- Istnieje wymóg porównywalności i odtwarzalności metod monitorowania, pomiaru, analizy i oceny skuteczności SZBI, punkt 9.2. Audyt wewnętrzny jest teraz podzielony na 9.2.1 Ogólne i 9.2.2 Program audytu. Klauzula 9.3. Przegląd zarządzania jest teraz podzielony na 9.3.1 Ogólne, 9.3.2 Dane wejściowe przeglądu zarządzania i 9.3.3. Wyniki przeglądu zarządzania. We wkładzie do przeglądu zarządzania należy uwzględnić zmiany potrzeb i oczekiwań zainteresowanych stron
- Poprawa
Bez większych zmian
Jakie są główne zmiany kontroli w Załączniku A do ISO 27001: 2022 dostosowane do ISO 27002?
Zgodnie z nową wersją normy ISO/IEC 27002, wytyczne dotyczące wdrażania kontroli bezpieczeństwa informacji, zaktualizowane w lutym 2022 r., załącznik A do normy ISO/IEC 27001 został zmieniony w wersji tej normy z 2022 roku. Podsumowanie tych zmian w kontrolkach IS 27001:2022 obejmuje:
- Zmniejszenie liczby kategorii kontroli z 14 do 4
- Zmniejszenie liczby kontroli ze 114 do 93
- Aktualizacja 58 istniejących kontrolek
- Połączenie 24 istniejących kontrolek
- Przedstawiam 11 nowych elementów sterujących
93 elementy sterujące są podzielone na 4 kategorie wymienione poniżej:
- 5. Organizacyjne (37 kontroli)
- 6. Ludzie (8 kontrolek)
- 7. Fizyczne (14 kontroli)
- 8. Technologiczne (34 kontrole)
Oto lista nowo dodanych kontroli w Załączniku A do ISO/IES 27001:2022:
- Informacje o zagrożeniach
- Bezpieczeństwo informacji przy korzystaniu z usług w chmurze
- Gotowość ICT do zapewnienia ciągłości biznesowej
- Monitorowanie bezpieczeństwa fizycznego
- Działania monitorujące
- Filtrowanie sieci
- Bezpieczne kodowanie
- Zarządzanie konfiguracją
- Usuwanie informacji
- Maskowanie danych
- Zapobieganie wyciekom danych
Jak te zmiany wpłyną na Twoją organizację i co powinieneś zrobić w okresie przejściowym?
Podobnie jak w przypadku innych standardów obowiązuje trzyletni okres przejściowy. Tak, więc, ponieważ nowa wersja została opublikowana w październiku 2022 r., przejście na nową wersję powinno zakończyć się do października 2025 r.
Aby uzyskać certyfikat ISO 27001, organizacje muszą przejść proces certyfikacji, który obejmuje audyt ich SZBI pod kątem wymagań ISO 27001. Proces certyfikacji jest prowadzony przez zewnętrzne jednostki certyfikujące, które są akredytowane przez krajowe jednostki akredytujące.
Jeśli certyfikowałeś już wersję tej normy z 2013 r., Twój następny audyt może być przeprowadzony w odniesieniu do wersji tej normy z 2013 r. lub 2022 r., ale od 1 listopada 2023 r. wszystkie audyty powinny być przeprowadzane przez jednostki certyfikujące w odniesieniu do ISO/IES 27001:2022.
Jeśli planujesz certyfikować swój System Zarządzania Bezpieczeństwem Informacji, Twój SZBI może zostać poddany audytowi pod kątem ISO/IES 27001:2022 do 31 października 2023 r.
Jaki koszt związany jest z dostosowaniem nowej normy ISO 27001?
Twoja firma powinna przejść przez proces dostosowania do zmienionych wymagań bez ponoszenia znacznych kosztów. Cena certyfikacji przez jednostkę certyfikującą oraz samego wydania certyfikatu ISO 27001 powinna pozostać bez zmian.
—-KONIEC—–
Chcesz poznać więcej sposobów na minimalizacje kosztów związanych z funkcjonowaniem systemu zarządzania?
Zapoznaj się z tym wpisem:
REDUKCJA KOSZTÓW DZIĘKI ZINTEGROWANEMU SYSTEMOWI ZARZĄDZANIA. ISO – SPOSÓB NA INFLACJĘ?