Normativní změny v normě ISO/IEC 27001:2022
Velmi významná změna doplňuje kontext organizace v ustanovení 4.4 o požadavek na identifikaci nezbytných procesů a jejich interakcí v rámci ISMS, které jsou nutné pro jeho zavedení a udržování. Tento výslovný požadavek uvádí normu ISO/IEC 27001:2022 do souladu s přístupem osvědčených postupů jiných systémů řízení podle HS (HLS). Systém řízení bezpečnosti informací musí být založen na zavedených, sledovatelných procesech a jejich vzájemných interakcích. Na základě těchto procesů jsou pak navrženy a přizpůsobeny kontroly bezpečnosti informací podle přílohy A.
Další relevantní změna v bodě 8.1 rovněž zdůrazňuje význam orientace na procesy, která je společná všem systémům řízení na bázi HS. Organizace musí realizovat procesy jako součást svého operativního plánování a řízení, aby mohly provádět opatření k řízení rizik bezpečnosti informací. Novinkou je, že nyní musí být definována kritéria procesů. Řízení procesů musí být realizováno v souladu s těmito kritérii.
Dále byla provedena spíše drobná upřesnění a specifikace v následujících bodech:
- Ustanovení 5.3 je doplněno o výslovný požadavek, aby byly v organizaci známy odpovědnosti a pravomoci za role související s bezpečností informací.
- Ustanovení 7.4 upravuje potřebu interní a externí komunikace týkající se ISMS. Kromě stále platných ustanovení o tom, co, kdy a s kým, je způsob komunikace oproti předchozím požadavkům funkčním zjednodušením.
- Ustanovení 9.2 Interní audit a 9.3 Přezkoumání vedením byly přizpůsobeny harmonizované struktuře. Ustanovení 9.2 je nyní rozděleno na 9.2.1 a 9.2.2, ustanovení 9.3 je rozděleno na tři podčásti 9.3.1, 9.3.2 a 9.3.3.
- Pořadí, v němž jsou strukturovány body 10.1 a 10.2, bylo přizpůsobeno harmonizované struktuře. Aspekt prospektivního neustálého zlepšování nyní v bodě 10.1 předchází retrospektivnímu řešení neshod a nápravných opatření v bodě10.2, aniž by došlo k dalším obsahovým změnám. Tato úprava zdůrazňuje význam procesu neustálého zlepšování (CIP).
Klíčovými a jednoznačnými požadavky normy ISO/IEC 27001, které odkazují na soubor kontrol v příloze A, jsou podle ustanovení 6.1.3 c) proces porovnání kontrol bezpečnosti informací specifických pro organizaci s kontrolami v příloze A a podle ustanovení 6.1.3 d) příprava prohlášení o použitelnosti (SoA). Tyto základní požadavky zůstávají beze změny!
Vysvětlivky v informativních (nenormativních) poznámkách k ustanovení 6.1.3 c) s odkazem na přílohu A jako seznam možných kontrol bezpečnosti informací naznačují možnost výběru dalších opatření z dalších zdrojů doplňujících přílohu A.
Nová příloha A normy ISO/IEC 27001:2022
Seznam možných kontrol bezpečnosti informací (IS) v normativní příloze A normy ISO/IEC 27001:2022 je totožně odvozen z normy ISO/IEC 27002:2022. Katalog obecných bezpečnostních kontrol byl zveřejněn v únoru 2022. Změny v příloze A normy ISO/IEC 27001:2022 se proto daly předvídat již delší dobu. Dříve příloha A obsahovala celkem 114 kontrol, které bylo možné použít k řešení rizik bezpečnosti informací v rámci 35 kontrolních cílů uspořádaných do 14 bodů.
Kromě toho, že nová norma ISO/IEC 27001:2022 odstraňuje kontrolní cíle, byly kontroly bezpečnosti informací v příloze A revidovány, aktualizovány a doplněny a reorganizovány o některé nové kontroly.
Původních 14 bodů přílohy A se nyní zaměřuje na 4 následující témata:
A.5 Organizační kontroly (s 37 kontrolami).
A.6 Osobní kontroly (s 8 kontrolami)
A.7 Fyzické kontroly (se 14 kontrolami).
A.8 Technické kontroly (s 34 kontrolami)
Příloha A nové verze normy ISO/IEC 27001:2022 nyní obsahuje celkem 93 kontrol, z nichž následujících 11 kontrol je nových:
A.5.7 Zpravodajství o hrozbách
A.5.23 Bezpečnost informací pro využívání cloudových služeb
A.5.30 Připravenost ICT na zajištění kontinuity provozu
A.7.4 Monitorování fyzické bezpečnosti
A.8.9 Řízení konfigurace
A.8.10 Vymazání informací
A.8.11 Maskování dat
A.8.12 Prevence úniku dat
A.8.16 Sledování činnosti
A.8.23 Filtrování webových stránek
A.8.28 Bezpečné kódování
Zatímco příloha A normy ISO/IEC 27001:2022 se omezuje na pojmenování kontrolních mechanismů, příručka pro implementaci ISO/IEC 27002:2022 poskytuje další možnosti jejich kategorizace. Tam je každé kontrole přiřazeno pět atributů, které umožňují různé pohledy a perspektivy na ně. Atributy nebo hodnoty jejich atributů lze použít k filtrování, třídění nebo zobrazení pro různé organizační pohledy.
Těchto pět atributů je následujících:
Typ kontroly je atribut pro pohled na kontroly z hlediska toho, kdy a jak opatření mění riziko spojené s výskytem incidentu v oblasti bezpečnosti informací.
Vlastnosti zabezpečení informací je atribut pro zobrazení kontrol z hlediska toho, jaký cíl ochrany má opatření podporovat.
Cybersecurity Concepts (Koncepce kybernetické bezpečnosti) nahlíží na kontroly z pohledu toho, jak se vztahují k rámci kybernetické bezpečnosti popsanému v normě ISO/IEC TS 27110.
Operational Capability (provozní schopnosti) posuzuje kontroly z hlediska jejich provozních schopností v oblasti bezpečnosti informací a podporuje praktický uživatelský pohled na opatření.
Domény bezpečnosti je atribut, který umožňuje nahlížet na kontroly z hlediska čtyř domén bezpečnosti informací.