neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale

Nová norma ISO/IEC 27001:2022 - klíčové změny

Markus Jegelka

DQS Expert & Auditor pro bezpečnost informací
zář 21 , 2023
# Zabezpečení informací a ochrana údajů

Podnikové procesy s přidanou hodnotou jsou řízeny informacemi a daty. Bez výměny informací v naší digitální ekonomice nic nefunguje. Naše základní služby jsou založeny na kritických infrastrukturách, jejichž funkčnost je vysoce závislá na výměně informací a dat. Bezpečnost informací zasahuje daleko do reality naší práce a života. Ochrana každodenního provozu založeného na informacích, kritických dat a duševního vlastnictví před kybernetickými hrozbami je proto pro podniky všech velikostí nezbytností. V dnešní době industrializovaných kybernetických útoků vyžaduje přizpůsobení se neustále se měnícím rizikům v oblasti bezpečnosti informací včasný a flexibilní přístup k budování odolnosti podniku.


A právě zde přichází ke slovu nová norma ISO/IEC 27001:2022, která se zaměřuje na procesní orientaci při řízení bezpečnosti informací. Norma ISO 27001 je již více než dvě desetiletí zavedeným, ale stárnoucím základem pro systémy řízení bezpečnosti informací. A navzdory svému stáří dokázala norma podle průzkumu ISO v uplynulém roce 2021 růst s nárůstem certifikátů o 32 %. Na pozadí rostoucí poptávky po moderním rámci pro posuzování bezpečnosti informací byla 25. října 2022 zveřejněna nová norma ISO/IEC 27001:2022. Co nás čeká?

Přehled nových prvků normy ISO 27001:2022

Norma ISO 27001 popisuje rámec pro systém řízení bezpečnosti informací (zkráceně ISMS) - a to pro společnosti bez ohledu na organizační strukturu, velikost nebo zaměření. Nosným prvkem je zde řízení rizik. Měnící se kybernetické hrozby neustále využívají nová potenciální zranitelná místa ve firmách s cílem napadnout a ohrozit informační toky, a tím i obchodní procesy. Rizika vyplývající z tohoto mechanismu na tři základní cíle ochrany bezpečnosti informací - důvěrnost, integritu a dostupnost - je třeba identifikovat a řídit.

Aktualizace normy ISO/IEC 27001:2022 se zabývá osvědčenými postupy pro řízení těchto rizik v oblasti bezpečnosti informací. Seznam možných kontrolních mechanismů bezpečnosti informací v normativní příloze A nové normy ISO/IEC 27001:2022 je shodně odvozen z revidovaného pokynu ISO/IEC 27002:2022. Tento prováděcí pokyn byl přijat již v únoru tohoto roku s jednodušší taxonomií a současnými bezpečnostními kontrolami. Po zveřejnění nové normy ISO/IEC 27001:2022 je úspěšný tandem norem ISO 27001/27002 s cennými doporučenými opatřeními opět na úrovni současného stavu.

ISO/IEC 27001:2022-10 - Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Systémy řízení bezpečnosti informací - Požadavky
Norma je k dispozici v angličtině na domovské stránce ISO.

Další významnou změnou v nové normě ISO/IEC 27001:2022 je, že s přizpůsobením se tzv. harmonizované struktuře se do centra pozornosti efektivního ISMS dostává dlouho odkládaný požadavek na procesní orientaci. Základem účinných systémů řízení jsou jasné procesy a jejich vzájemné vazby a cílově orientovaná kritéria těchto procesů pro jejich řízení.

V následujícím textu se blíže podíváme na tři oblasti změn nové verze normy ISO 27001.

Struktura na vysoké úrovni se stává harmonizovanou strukturou

Od května 2021 je předchozí struktura vysoké úrovně (HLS) nahrazena harmonizovanou strukturou (HS). HS je základní strukturou a šablonou pro vývoj nových a budoucích revizí stávajících norem systému řízení ISO. Norma ISO/IEC 27001:2022 je jednou z prvních norem systému řízení, která bude přizpůsobena HS. Různá upřesnění, doplnění, ale i vypuštění v HS oproti HLS jsou pro uživatele, kteří normu znají, poměrně zajímavá.

U normy ISO/IEC 27001:2022 je však přímo patrná významná odvozenost od HS. Ustanovení 6.3 bude v budoucnu vyžadovat, aby změny v ISMS byly prováděny plánovitě. Tento požadavek je známý z jiných systémů řízení a vyjadřuje očekávání, že proces změn souvisejících s ISMS byl zvládnut. Například přechod z předchozí normy ISO/IEC 27001:2013 na novou normu ISO/IEC 27001:2022 lze chápat jako změnu ISMS, která by měla být provedena plánovaně se všemi jejími dopady a interakcemi.

ISO 27001 - Systém řízení bezpečnosti informací

Holistický systém řízení podle normy ISO ★ Efektivní zavedení procesu řízení rizik ★ Neustálé zlepšování úrovně zabezpečení

Více informací o ISO 27001

Normativní změny v normě ISO/IEC 27001:2022

Velmi významná změna doplňuje kontext organizace v ustanovení 4.4 o požadavek na identifikaci nezbytných procesů a jejich interakcí v rámci ISMS, které jsou nutné pro jeho zavedení a udržování. Tento výslovný požadavek uvádí normu ISO/IEC 27001:2022 do souladu s přístupem osvědčených postupů jiných systémů řízení podle HS (HLS). Systém řízení bezpečnosti informací musí být založen na zavedených, sledovatelných procesech a jejich vzájemných interakcích. Na základě těchto procesů jsou pak navrženy a přizpůsobeny kontroly bezpečnosti informací podle přílohy A.

Další relevantní změna v bodě 8.1 rovněž zdůrazňuje význam orientace na procesy, která je společná všem systémům řízení na bázi HS. Organizace musí realizovat procesy jako součást svého operativního plánování a řízení, aby mohly provádět opatření k řízení rizik bezpečnosti informací. Novinkou je, že nyní musí být definována kritéria procesů. Řízení procesů musí být realizováno v souladu s těmito kritérii.

Dále byla provedena spíše drobná upřesnění a specifikace v následujících bodech:

  • Ustanovení 5.3 je doplněno o výslovný požadavek, aby byly v organizaci známy odpovědnosti a pravomoci za role související s bezpečností informací.
  • Ustanovení 7.4 upravuje potřebu interní a externí komunikace týkající se ISMS. Kromě stále platných ustanovení o tom, co, kdy a s kým, je způsob komunikace oproti předchozím požadavkům funkčním zjednodušením.
  • Ustanovení 9.2 Interní audit a 9.3 Přezkoumání vedením byly přizpůsobeny harmonizované struktuře. Ustanovení 9.2 je nyní rozděleno na 9.2.1 a 9.2.2, ustanovení 9.3 je rozděleno na tři podčásti 9.3.1, 9.3.2 a 9.3.3.
  • Pořadí, v němž jsou strukturovány body 10.1 a 10.2, bylo přizpůsobeno harmonizované struktuře. Aspekt prospektivního neustálého zlepšování nyní v bodě 10.1 předchází retrospektivnímu řešení neshod a nápravných opatření v bodě10.2, aniž by došlo k dalším obsahovým změnám. Tato úprava zdůrazňuje význam procesu neustálého zlepšování (CIP).

Klíčovými a jednoznačnými požadavky normy ISO/IEC 27001, které odkazují na soubor kontrol v příloze A, jsou podle ustanovení 6.1.3 c) proces porovnání kontrol bezpečnosti informací specifických pro organizaci s kontrolami v příloze A a podle ustanovení 6.1.3 d) příprava prohlášení o použitelnosti (SoA). Tyto základní požadavky zůstávají beze změny!
Vysvětlivky v informativních (nenormativních) poznámkách k ustanovení 6.1.3 c) s odkazem na přílohu A jako seznam možných kontrol bezpečnosti informací naznačují možnost výběru dalších opatření z dalších zdrojů doplňujících přílohu A.

 

Nová příloha A normy ISO/IEC 27001:2022

Seznam možných kontrol bezpečnosti informací (IS) v normativní příloze A normy ISO/IEC 27001:2022 je totožně odvozen z normy ISO/IEC 27002:2022. Katalog obecných bezpečnostních kontrol byl zveřejněn v únoru 2022. Změny v příloze A normy ISO/IEC 27001:2022 se proto daly předvídat již delší dobu. Dříve příloha A obsahovala celkem 114 kontrol, které bylo možné použít k řešení rizik bezpečnosti informací v rámci 35 kontrolních cílů uspořádaných do 14 bodů.

Kromě toho, že nová norma ISO/IEC 27001:2022 odstraňuje kontrolní cíle, byly kontroly bezpečnosti informací v příloze A revidovány, aktualizovány a doplněny a reorganizovány o některé nové kontroly.

Původních 14 bodů přílohy A se nyní zaměřuje na 4 následující témata:

A.5 Organizační kontroly (s 37 kontrolami).

A.6 Osobní kontroly (s 8 kontrolami)

A.7 Fyzické kontroly (se 14 kontrolami).

A.8 Technické kontroly (s 34 kontrolami)

Příloha A nové verze normy ISO/IEC 27001:2022 nyní obsahuje celkem 93 kontrol, z nichž následujících 11 kontrol je nových:

A.5.7 Zpravodajství o hrozbách

A.5.23 Bezpečnost informací pro využívání cloudových služeb

A.5.30 Připravenost ICT na zajištění kontinuity provozu

A.7.4 Monitorování fyzické bezpečnosti

A.8.9 Řízení konfigurace

A.8.10 Vymazání informací

A.8.11 Maskování dat

A.8.12 Prevence úniku dat

A.8.16 Sledování činnosti

A.8.23 Filtrování webových stránek

A.8.28 Bezpečné kódování

Zatímco příloha A normy ISO/IEC 27001:2022 se omezuje na pojmenování kontrolních mechanismů, příručka pro implementaci ISO/IEC 27002:2022 poskytuje další možnosti jejich kategorizace. Tam je každé kontrole přiřazeno pět atributů, které umožňují různé pohledy a perspektivy na ně. Atributy nebo hodnoty jejich atributů lze použít k filtrování, třídění nebo zobrazení pro různé organizační pohledy.

Těchto pět atributů je následujících:

Typ kontroly je atribut pro pohled na kontroly z hlediska toho, kdy a jak opatření mění riziko spojené s výskytem incidentu v oblasti bezpečnosti informací.

Vlastnosti zabezpečení informací je atribut pro zobrazení kontrol z hlediska toho, jaký cíl ochrany má opatření podporovat.

Cybersecurity Concepts (Koncepce kybernetické bezpečnosti) nahlíží na kontroly z pohledu toho, jak se vztahují k rámci kybernetické bezpečnosti popsanému v normě ISO/IEC TS 27110.

Operational Capability (provozní schopnosti) posuzuje kontroly z hlediska jejich provozních schopností v oblasti bezpečnosti informací a podporuje praktický uživatelský pohled na opatření.

Domény bezpečnosti je atribut, který umožňuje nahlížet na kontroly z hlediska čtyř domén bezpečnosti informací.

Co znamená aktualizace pro vaši certifikaci?

Nová a vylepšená verze normy ISO/IEC 27001 byla zveřejněna 25. října 2022. Pro uživatele normy z toho vyplývají následující časové rámce a lhůty pro přechod:

  • Připravenost k certifikaci podle ISO/IEC 27001:2022
    -> pravděpodobně od června/července 2023
    (v závislosti na německém akreditačním orgánu DAkkS).
  • Poslední termín pro úvodní/recertifikační audity podle dřívější normy ISO 27001:2013
    -> 18 měsíců po zveřejnění nové normy ISO/IEC 27001:2022.
  • Přechod všech stávajících certifikátů na novou normu ISO/IEC 27001:2022
    -> 3 roky, vztahující se k poslednímu dni měsíce vydání
    ISO/IEC 27001:2022 (říjen 2025).

Lhůty pro přechod jsou podle normy ISO.

ISO 27001 - Systém řízení bezpečnosti informací

Holistický systém řízení podle normy ISO ★ Efektivní zavedení procesu řízení rizik ★ Neustálé zlepšování úrovně zabezpečení

Více informací o ISO 27001

Nová norma ISO/IEC 27001:2022 - Závěr

Nová norma ISO/IEC 27001:2022 je k dispozici. Tím začíná tříleté přechodné období.

Souhrnně lze říci, že hlavní novinky jsou následující:

  • Shoda systému řízení s harmonizovanou strukturou.
  • Důraz na orientaci na procesy, jejich vzájemné vazby a kritéria.
  • Zjednodušená a zefektivněná kategorizace kontrol do tematických bloků.
  • Současná opatření sladěná se současnými organizačními metodami a souvisejícími hrozbami.
  • Atributy pro sladění kontrol s různými metodikami řízení rizik, včetně globálních rámců kybernetické bezpečnosti.
gerber-hermsdorf-werner-korall-audit dqs

Máte nějaké otázky?

Kontaktujte nás!

Nezávazně a zdarma.

Odeslat poptávku nyní

Důvěra a odborné znalosti

Naše texty a brožury píší výhradně naši odborníci na normy nebo dlouholetí auditoři. Máte-li jakékoli dotazy k obsahu textů nebo k našim službám pro autora, neváhejte nám poslat e-mail.

Autor
Markus Jegelka

Expert DQS na systémy řízení bezpečnosti informací (ISMS) a dlouholetý auditor norem ISO 9001, ISO/IEC 27001 a katalogu bezpečnosti IT podle paragrafu 11.1a německého zákona o energetice (EnWG).

Jakékoli dotazy?

Jsme tu pro vás.
Kontaktujte nás