Normativne promjene u ISO/IEC 27001:2022
Značajna promjena nadopunjuje kontekst organizacije u točki 4.4 zahtjevom za identificiranje potrebnih procesa i njihovih interakcija unutar sustava upravljanja informacijskom sigurnošću koji su potrebni za njegovu implemenentaciju i održavanje. Ovaj izričiti zahtjev dovodi ISO/IEC 27001:2022 u sklad s pristupom najbolje prakse drugih sustava upravljanja prema harmoniziranoj strukturi (strukturi visoke razine). Sustav upravljanja informacijskom sigurnošću mora se temeljiti na uspostavljenim, sljedivim procesima i njihovim interakcijama. Kontrole informacijske sigurnosti iz Dodatka A onda se prilagođavaju tim procesima.
Sljedeća relevantna promjena u točki 8.1 naglašava i značaj procesne orijentacije, koja je zajednička svim sustavima upravljanja koji se temelje na harmoniziranoj strukturi. Organizacije moraju realizirati procese kao dio svog operativnog planiranja i kontrole za implementaciju mjera za upravljanje rizicima informacijske sigurnosti. Novost je da se kriteriji procesa sada moraju definirati. Kontrola procesa mora se implementirati u skladu s tim kriterijima.
Nadalje, manja pojašnjenja i detaljniji opisi dani su u sljedećim poglavljima:
- Točka 5.3 je nadopunjena izričitim zahtjevom da odgovornosti i ovlaštenja za uloge povezane s informacijskom sigurnošću moraju biti poznate unutar organizacije.
- Točka 7.4 određuje potrebu za internom i eksternom komunikacijom u pogledu sustava upravljanja informacijskom sigurnošću. Osim još uvijek primjenjivih odredbi o tome o čemu, kada, i s kim se komunicira, kako se komunicira je djelotvorno pojednostavljenje prethodnih zahtjeva.
- Točke 9.2 Interni audit i 9.3 Ocjena uprave prilagođene su harmoniziranoj strukturi. Točka 9.2 je podijeljena u podtočke 9.2.1 i 9.2.2. Točka 9.3 je podijeljena u tri podtočke 9.3.1, 9.3.2 i 9.3.3.
- Redoslijed točaka 10.1 i 10.2 prilagođen je harmoniziranoj strukturi. Aspekt budućeg stalnog poboljšavanja sada u točki 10.1 prethodi retroaktivnom upravljanju nesukladnostima i popravnim mjerama u točki 10.2, bez daljnjih promjena u sadržaju. Ta prilagodba naglašava značaj procesa stalnog poboljšavanja.
Ključni i nedvosmisleni zahtjevi ISO/IEC 27001 koji se odnose na skup kontrola iz Dodatka A su, prema točki 6.1.3 c), proces usporedbe između kontrola informacijske sigurnosti specifičnih za organizaciju i onih iz Dodatka A i, prema točki 6.1.3 d), pripema Izjave o primjenjivosti (Statement of Applicability - SoA). Temeljni zahtjevi ostaju nepromijenjeni!
Objašnjenja u informativnoj (nenormativnoj) napomeni u točki 6.1.3 c) s upućivanjem na Dodatak A kao popis mogućih kontrola informacijske sigurnosti ukazuju na mogućnost odabra dodatnih mjera iz dodatnih izvora koji dopunjuju Dodatak A.
Novi Dodatak A norme ISO/IEC 27001:2022
Popis mogućih kontrola informacijske sigurnosti u normativnom Dodatku A norme ISO/IEC 27001:2022 izveden je identično iz norme ISO/IEC 27002:2022. Katalog općih kontrola sigurnosti objavljen je u veljači 2022. Stoga su se promjene u Dodatku A norme ISO/IEC 27001:2022 mogle predvidjeti već neko vrijeme. Prije je Dodatak A uključivao ukupno 114 kontrola koje su se mogle koristiti za upravljanje rizicima informacijske sigurnosti u okviru 25 ciljeva kontrole organiziranih u 14 poglavlja.
Osim što nova norma ISO/IEC 27001:2022 eliminira ciljeve kontrole, kontrole informacijske sigurnosti u Dodatku A su revidirane, ažurirane te dopunjene i reorganizirane nekim novim kontrolama.
Prethodnih 14 poglavlja Dodatka A sada je usredotočeno na sljedeće 4 teme:
A.5 Organizacijske kontrole (sa 37 kontrola).
A.6 Kontrole ljudi (s 8 kontrola)
A.7 Fizičke kontrole (sa 14 kontrola)
A.8 Tehničke kontrole (sa 34 kontrole)
Dodatak A novog izdanja ISO/IEC 27001:2022 sada uključuje ukupno 93 kontrole, od kojih su sljedećih 11 kontrola nove:
A.5.7 Obavještajni podaci o prijetnjama
A.5.23 Informacijska sigurnost za korištenje usluga u oblaku
A.5.30 Spremnost informacijsko-komunikacijkih tehnologija za osiguranje neprekidnosti poslovanja
A.7.4 Nadzor fizičke sigurnosti
A.8.9 Upravljanje konfiguracijom
A.8.10 Brisanje informacija
A.8.11 Maskiranje podataka
A.8.12 Sprječavanje curenja podataka
A.8.16 Nadzor aktivnosti
A.8.23 Web filtriranje
A.8.28 Sigurno kodiranje
Dok Dodatak A norme ISO/IEC 27001:2022 samo imenuje kontrole, vodič za implementaciju ISO/IEC 27002:2022 pruža dodatne mogućnosti za njihovu kategorizaciju. Tu je svakoj kontroli dodijeljeno 5 atributa koji omogućavaju različite poglede i perspektive. Atributi ili njihove vrijednosti atributa mogu se koristiti za filtriranje, sortiranje ili prikaz za različite organizacijske poglede.
Pet atributa su:
Vrsta kontrole je atribut za pogled na kontrole iz perspektive kada i kako mjera mijenja rizik povezan s pojavom incidenta informacijske sigurnosti.
Svojstva informacijske sigurnosti su atribut za pogled na kontrole iz perspektive cilja zaštite koji mjera treba podržati.
Koncepti kibernetičke sigurnosti gledaju na kontrole iz perspektive načina na koji se one preslikavaju na okvir kibernetičke sigurnosti opisan u ISO/IEC TS 27110.
Operativne sposobnosti razmatraju kontrole iz perspektive njihovih operativnih sposobnosti informacijske sigurnosti i podržavaju praktični korisnički pogled na mjere.
Sigurnosne domene su atribut koji omogućava da se na kontrole gleda iz perspektive četiri domene informacijske sigurnosti.