Normativne izmjene u ISO/IEC 27001:2022
Vrlo značajna promjena dodaje se kontekstu organizacije u klauzuli 4.4 sa zahtjevom da se identifikuju potrebni procesi i njihove interakcije unutar ISMS-a koje su potrebne za njegovu implementaciju i održavanje. Ovaj eksplicitni zahtjev dovodi ISO/IEC 27001:2022 u skladu sa pristupom najbolje prakse drugih sistema upravljanja prema HS (HLS). Sistem upravljanja sigurnosti informacija mora biti zasnovan na uspostavljenim, sljedivim procesima i njihovim interakcijama. Kontrole sigurnosti informacija u Aneksu A se zatim dizajniraju i prilagođavaju ovim procesima.
Sljedeća relevantna promjena u klauzuli 8.1 također naglašava važnost procesne orijentacije, koja je zajednička svim sistemima upravljanja baziranim na HS. Organizacije moraju realizovati procese kao dio svog operativnog planiranja i kontrole za implementaciju mjera za upravljanje rizicima sigurnosti informacija. Ono što je novo je da se sada moraju definisati kriteriji procesa. Kontrola procesa mora biti implementirana u skladu sa ovim kriterijima.
Nadalje, prilično manja pojašnjenja i specifikacije su date u sljedećim klauzulama:
- Klauzula 5.3 je dopunjena eksplicitnim zahtjevom da se odgovornosti i ovlaštenja za uloge vezane za sigurnost informacija obznane unutar organizacije.
- Klauzula 7.4 reguliše potrebu za internom i eksternom komunikacijom u vezi sa ISMS-om. Pored još uvijek primjenjivih odredbi o tome o čemu, kada i s kim, način komunikacije je izvodljivo pojednostavljenje u odnosu na prethodne zahtjeve.
- Klauzula 9.2 Interni audit i 9.3 Pregled upravljanja su prilagođeni Harmonizovanoj strukturi. Klauzula 9.2 je sada podijeljena na 9.2.1 i 9.2.2, klauzula 9.3 je podijeljena na tri pododjeljke 9.3.1, 9.3.2 i 9.3.3.
- Redoslijed u kojem su Klauzula 10.1 i Kauzula 10.2 strukturirani je prilagođen Harmoniziranoj strukturi. Aspekt budućeg kontinuiranog poboljšanja sada prethodi retrospektivnom rješavanju neusklađenosti i korektivnim akcijama u klauzuli 10.2 u klauzuli 10.1 bez ikakvih daljnjih promjena u sadržaju. Ovo prilagođavanje naglašava važnost procesa kontinuiranog poboljšanja (CIP).
Ključni i nedvosmisleni zahtjevi u ISO/IEC 27001 koji upućuju na skup kontrola u Aneksu A su, prema klauzuli 6.1.3 c), proces poređenja između kontrola sigurnosti informacija specifičnih za organizaciju sa onima u Aneksu A i, prema Klauzula 6.1.3 d), priprema Izjave o primenljivosti (SoA). Ovi osnovni zahtjevi ostaju nepromijenjeni!
Objašnjenja u informativnim (nenormativnim) napomenama uz klauzulu 6.1.3 c) sa referencom na Aneks A kao listu mogućih kontrola sigurnosti informacija ukazuju na mogućnost odabira dodatnih mjera iz daljih izvora koji su dopuni Aneksu A.
Novi Aneks A u ISO/IEC 27001:2022
Lista mogućih kontrola sigurnosti informacija (IS) u normativnom Aneksu A standarda ISO/IEC 27001:2022 izvedena je identično iz ISO/IEC 27002:2022. Katalog opštih sigurnostnih kontrola objavljen je u februaru 2022. Zbog toga su promene u Aneksu A ISO/IEC 27001:2022 bile predvidive već neko vrijeme. Ranije je Aneks A uključivao ukupno 114 kontrola koje su se mogle koristiti za rješavanje rizika sigurnosti informacija u okviru 35 kontrolnih ciljeva organizovanih u 14 klauzula.
Osim što novi ISO/IEC 27001:2022 eliminiše ciljeve kontrole, kontrole sigurnosti informacija u Aneksu A su revidirane, ažurirane i dopunjene i reorganizirane nekim novim kontrolama.
Prethodnih 14 klauzula Aneksa A sada je fokusirano na 4 sljedeće teme:
A.5 Organizacione kontrole (sa 37 kontrola)
A.6 Kontrole osoblja (sa 8 kontrola)
A.7 Fizičke kontrole (sa 14 kontrola)
A.8 Tehničke kontrole (sa 34 kontrole)
Aneks A nove verzije ISO/IEC 27001:2022 sada uključuje ukupno 93 kontrole, od kojih je sljedećih 11 kontrola novih:
A.5.7 Prijetnje inteligenciji
A.5.23 Sigurnost informacija za korištenje usluga u oblaku
A.5.30 IKT spremnost za kontinuitet poslovanja
A.7.4 Nadgledanje fizičke sigurnosti
A.8.9 Upravljanje konfiguracijom
A.8.10 Brisanje informacija
A.8.11 Maskiranje podataka
A.8.12 Sprečavanje curenja podataka
A.8.16 Praćenje aktivnosti
A.8.23 Web filtriranje
A.8.28 Sigurno kodiranje
Dok je Aneks A ISO/IEC 27001:2022 ograničen na imenovanje kontrola, vodič za implementaciju ISO/IEC 27002:2022 pruža dodatne opcije za njihovo kategoriziranje. Tu je svakoj kontroli dodijeljeno pet atributa koji omogućavaju različite poglede i perspektive na njih. Atributi ili njihove vrijednosti atributa mogu se koristiti za filtriranje, sortiranje ili prikaz za različite organizacijske poglede.
Pet atributa su:
Vrsta kontrole je atribut za prikaz kontrola iz perspektive kada i kako mjera mijenja rizik u vezi s pojavom incidenta u informacijskoj sigurnosti.
Svojstva sigurnosti informacija su atribut za gledanje kontrola iz perspektive koji cilj zaštite mjera treba podržati.
Koncepti sajber sigurnosti razmatraju kontrole iz perspektive kako se one mapiraju u okvir kibernetičke sigurnosti opisan u ISO/IEC TS 27110.
Operativna sposobnost razmatra kontrole iz perspektive njihovih operativnih mogućnosti sigurnosti informacija i podržava praktičan korisnički pogled na mjere.
Sigurnosne domene su atribut koji omogućava da se kontrole posmatraju iz perspektive četiri domena sigurnosti informacija.