neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale

Novi ISO/IEC 27001:2022 - ključne promjene

Markus Jegelka

Stručnjak & auditor DQS-a za informacijsku sigurnost
ruj 21 , 2023
# Informacijska sigurnost i zaštita podataka

Poslovne procese s dodanom vrijednošću pokreću informacije i podaci. Bez razmjene informacija ništa ne funkcionira u našoj digitalnoj ekonomiji. Naše osnovne usluge se temelje na kritičnoj infrastrukturi čija funkcionalnost uvelike ovisi o razmjeni informacija i podataka. Informacijska sigurnost proteže se daleko u stvarnost našeg rada i života. Zaštita svakodnevnih operacija koje pokreću informacije, kritičnih podataka i intelektualnog vlasništva od kibernetičkih prijetnji stoga je od ključne važnosti za organizacije svih veličina. U ovo doba industrijaliziranih kibernetičkih podataka prilagodba stalno promjenjivim rizicima infomacijske sigurnosti zahtijeva prevovremeni i fleksibilni pristup izgradnji otpornosti poduzeća.

I upravo tu dolazimo do novog izdanja norme ISO/IEC 27001:2022 sa svojim fokusom na procesnu orijentaciju u upravljanju informacijskom sigurnošću. Više od dva desetljeća norma ISO 27001 koristi se kao etablirana, ali i zastarjela, osnova za sustave upravljanja informacijskom sigurnošću. A usprkos svojoj zastarjelosti, prema ISO anketi, upotreba norme je ipak rasla s porastom broja certifikata od 32% prošle 2021. godine. U tom kontekstu rastuće potražnje za suvremenim okvirom za procjene informacijske sigurnosti objavljeno je novo izdanje ISO/IEC 27001:2022 25. listopada 2022. godine. Što vas očekuje?

Pregled novih značajki u ISO 27001:2022

ISO 27001 opisuje okvir za sustav upravljanja informacijskom sigurnošću (information security management system - ISMS) - i to za sve organizacije neovisno o organizacijskoj strukturi, veličini ili orijentaciji. Ključna točka ovdje je upravljanje rizikom. Promjenjive kibernetičke prijetnje stalno iskorištavaju nove potencijalne ranjivosti u organizacijama s ciljem napada na i ugrožavanja tokova informacija, a time i poslovnih procesa. Rizici koji proizlaze iz ovog mehanizma za tri ključna cilja zaštite informacijske sigurnosti - povjerljivost, integritet i dostupnost - moraju se identificirati i njima se mora upravljati. 

Ažuriranje ISO/IEC 27001:2022 bavi se najboljim praksama za upravljanje tim rizicima informacijske sigurnosti. Popis mogućih kontrola informacijske sigurnosti u normativnom Dodatku A nove ISO/IEC 27001:2022 identično je izveden iz revidiranog izdanja smjernica ISO/IEC 27002:2002. Smjernice za implementaciju već su usvojene u veljači ove godine s jednostavnijom taksonomijom i suvremenim sigurnosnim kontrolama. Sada kada je objavljena nova ISO/IEC 27001:2022, uspješan tandem normi ISO 27001/27002 sa svojim korisnim preporučenim mjerama ponovno je osuvremenjen.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022 Q&A

"Novi" za informacijsku sigurnost: 38 pitanja i odgovora.

Sve što trebate znati o novostima za informacijsku sigurnost: 38 odgovora naših stručnjaka na 38 pitanja korisnika.

  • Kada bismo trebali prijeći na novu verziju standarda?
  • Na što se odnose nove kontrole?
  • Gdje mogu pronaći popis usporedbi starog i novog?
  • ... i još 35 drugih!
Preuzmite bijelu knjigu s najčešćim pitanjima o novom ISO 27001

ISO/IEC 27001:2022-10 - Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti - Sustavi upravljanja informacijskom sigurnošću - Zahtjevi
Norma je dostupna na engleskom jeziku na internetskoj stranici ISO organizacije.

Još jedna značajna promjena u novoj normi ISO/IEC 27001:2022 odnosi se na prilagodbu na tzv. Harmoniziranu strukturu, čime je zahtjev za procesnom orijentacijom napokon stavljen u fokus djelotvornog sustava upravljanja informacijskom sigurnošću.

Još jedna značajna promjena u novoj normi ISO/IEC 27001:2022 je da je prilagodbom na tzv. harmoniziranu strukturu zahtjev za procesnom orijentacijom napokon stavljen u fokus djelotvornog sustava upravljanja informacijskom sigurnošću. Osnovu djelotvornog sustava upravljanja čine jasni procesi i njihove interakcije ako i ciljno orijentirani kriteriji za te procese za njihovu kontrolu.

U nastavku ćemo pobliže pogledati tri područja promjena u novom izdanju ISO 27001.

 

Struktura visoke razine postaje Harmonizirana struktura

Od svibnja 2021. godine prethodnu strukturu visoke razine (High Level Structure - HLS) zamjenjuje Harmonizirana struktura (HS). Harmonizirana struktura je osnovna struktura i predložak za razvoj novih i budućih revizija postojećih ISO normi za sustave upravljanja. ISO/IEC 27001:2022 je jedna od prvih normi za sustave upravljanja sa harmoniziranom strukturom. Razna pojašnjenja, dodaci, ali i brisanja u harmoniziranoj strukturi u odnosu na strukturu visoke razine posebno su zanimljiva korisnicima koji su već upoznati s normom.

Kod ISO/IEC 27001:2022, međutim, izravno je vidljiva jedna značajna derivacija iz harmonizirane strukture. Ubuduće će točka 6.3 zahtijevati da se promjene u sustavu upravljanja informacijskom sigurnošću implementiraju na planirani način. Ovaj je zahtjev poznat iz drugih sustava upravljanja i izražava očekivanje da je proces promjene u sustavu upravljanja informacijskom sigurnošću ovladan. Na primjer, prijelaz s prethodne norme ISO/IEC 27001:2013 na novu normu ISO/IEC 27001:2022 može se shvatiti kao promjena u sustavu upravljanja informacijskom sigurnošću koju treba implementirati na planirani način sa svim svojim učincima i interakcijama.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Pogledajte sada: Što se mijenja s novom normom ISO/IEC 27001:2022

Novo izdanje ISO/IEC 27001, prilagođeno suvremenim informacijskim rizicima, objavljeno je 25. listopada 2022. Što to znači za korisnike norme? U našoj besplatnoj snimci webinara saznat ćete više o:

  • Novim značajkama ISO/IEC 27001:2022 - Okvir i Dodatak A
  • ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i hashtagovi
  • Vremenski okvir za prijelaz i novi koraci
Pogledajte snimku sada

Normativne promjene u ISO/IEC 27001:2022

Značajna promjena nadopunjuje kontekst organizacije u točki 4.4 zahtjevom za identificiranje potrebnih procesa i njihovih interakcija unutar sustava upravljanja informacijskom sigurnošću koji su potrebni za njegovu implemenentaciju i održavanje. Ovaj izričiti zahtjev dovodi ISO/IEC 27001:2022 u sklad s pristupom najbolje prakse drugih sustava upravljanja prema harmoniziranoj strukturi (strukturi visoke razine). Sustav upravljanja informacijskom sigurnošću mora se temeljiti na uspostavljenim, sljedivim procesima i njihovim interakcijama. Kontrole informacijske sigurnosti iz Dodatka A onda se prilagođavaju tim procesima.

Sljedeća relevantna promjena u točki 8.1 naglašava i značaj procesne orijentacije, koja je zajednička svim sustavima upravljanja koji se temelje na harmoniziranoj strukturi. Organizacije moraju realizirati procese kao dio svog operativnog planiranja i kontrole za implementaciju mjera za upravljanje rizicima informacijske sigurnosti. Novost je da se kriteriji procesa sada moraju definirati. Kontrola procesa mora se implementirati u skladu s tim kriterijima.

Nadalje, manja pojašnjenja i detaljniji opisi dani su u sljedećim poglavljima:

  • Točka 5.3 je nadopunjena izričitim zahtjevom da odgovornosti i ovlaštenja za uloge povezane s informacijskom sigurnošću moraju biti poznate unutar organizacije.  
  • Točka 7.4 određuje potrebu za internom i eksternom komunikacijom u pogledu sustava upravljanja informacijskom sigurnošću. Osim još uvijek primjenjivih odredbi o tome o čemu, kada, i s kim se komunicira, kako se komunicira je djelotvorno pojednostavljenje prethodnih zahtjeva.
  • Točke 9.2 Interni audit i 9.3 Ocjena uprave prilagođene su harmoniziranoj strukturi. Točka 9.2 je podijeljena u podtočke 9.2.1 i 9.2.2. Točka 9.3 je podijeljena u tri podtočke 9.3.1, 9.3.2 i 9.3.3. 
  • Redoslijed točaka 10.1 i 10.2 prilagođen je harmoniziranoj strukturi. Aspekt budućeg stalnog poboljšavanja sada u točki 10.1 prethodi retroaktivnom upravljanju nesukladnostima i popravnim mjerama u točki 10.2, bez daljnjih promjena u sadržaju. Ta prilagodba naglašava značaj procesa stalnog poboljšavanja.

Ključni i nedvosmisleni zahtjevi ISO/IEC 27001 koji se odnose na skup kontrola iz Dodatka A su, prema točki 6.1.3 c), proces usporedbe između kontrola informacijske sigurnosti specifičnih za organizaciju i onih iz Dodatka A i, prema točki 6.1.3 d), pripema Izjave o primjenjivosti (Statement of Applicability - SoA). Temeljni zahtjevi ostaju nepromijenjeni!

Objašnjenja u informativnoj (nenormativnoj) napomeni u točki 6.1.3 c) s upućivanjem na Dodatak A kao popis mogućih kontrola informacijske sigurnosti ukazuju na mogućnost odabra dodatnih mjera iz dodatnih izvora koji dopunjuju Dodatak A.

 

Novi Dodatak A norme ISO/IEC 27001:2022

Popis mogućih kontrola informacijske sigurnosti u normativnom Dodatku A norme ISO/IEC 27001:2022 izveden je identično iz norme ISO/IEC 27002:2022. Katalog općih kontrola sigurnosti objavljen je u veljači 2022. Stoga su se promjene u Dodatku A norme ISO/IEC 27001:2022 mogle predvidjeti već neko vrijeme. Prije je Dodatak A uključivao ukupno 114 kontrola koje su se mogle koristiti za upravljanje rizicima informacijske sigurnosti u okviru 25 ciljeva kontrole organiziranih u 14 poglavlja.

Osim što nova norma ISO/IEC 27001:2022 eliminira ciljeve kontrole, kontrole informacijske sigurnosti u Dodatku A su revidirane, ažurirane te dopunjene i reorganizirane nekim novim kontrolama. 

Prethodnih 14 poglavlja Dodatka A sada je usredotočeno na sljedeće 4 teme:

A.5 Organizacijske kontrole (sa 37 kontrola).

A.6 Kontrole ljudi (s 8 kontrola)

A.7 Fizičke kontrole (sa 14 kontrola)

A.8 Tehničke kontrole (sa 34 kontrole)

Dodatak A novog izdanja ISO/IEC 27001:2022 sada uključuje ukupno 93 kontrole, od kojih su sljedećih 11 kontrola nove:

A.5.7 Obavještajni podaci o prijetnjama

A.5.23 Informacijska sigurnost za korištenje usluga u oblaku

A.5.30 Spremnost informacijsko-komunikacijkih tehnologija za osiguranje neprekidnosti poslovanja

A.7.4 Nadzor fizičke sigurnosti

A.8.9 Upravljanje konfiguracijom

A.8.10 Brisanje informacija

A.8.11 Maskiranje podataka

A.8.12 Sprječavanje curenja podataka

A.8.16 Nadzor aktivnosti

A.8.23 Web filtriranje

A.8.28 Sigurno kodiranje

Dok Dodatak A norme ISO/IEC 27001:2022 samo imenuje kontrole, vodič za implementaciju ISO/IEC 27002:2022 pruža dodatne mogućnosti za njihovu kategorizaciju. Tu je svakoj kontroli dodijeljeno 5 atributa koji omogućavaju različite poglede i perspektive. Atributi ili njihove vrijednosti atributa mogu se koristiti za filtriranje, sortiranje ili prikaz za različite organizacijske poglede.

Pet atributa su:

Vrsta kontrole je atribut za pogled na kontrole iz perspektive kada i kako mjera mijenja rizik povezan s pojavom incidenta informacijske sigurnosti.

Svojstva informacijske sigurnosti su atribut za pogled na kontrole iz perspektive cilja zaštite koji mjera treba podržati.

Koncepti kibernetičke sigurnosti gledaju na kontrole iz perspektive načina na koji se one preslikavaju na okvir kibernetičke sigurnosti opisan u ISO/IEC TS 27110.

Operativne sposobnosti razmatraju kontrole iz perspektive njihovih operativnih sposobnosti informacijske sigurnosti i podržavaju praktični korisnički pogled na mjere.

Sigurnosne domene su atribut koji omogućava da se na kontrole gleda iz perspektive četiri domene informacijske sigurnosti.

ISO 27001 - Sustav upravljanja informacijskom sigurnošću

Holistički sustav upravljanja prema ISO normi ★ Djelotvorna implemenacija procesa upravljanja rizicima ★ Stalno poboljšavanje razine sigurnosti

Više informacija o ISO 27001

Što ažuriranje norme znači za Vašu certifikaciju?

ISO/IEC 27001:2022 objavljen je 25. listopada, 2022. To rezultira sljedećim prijelaznim vremenskim okvirima i rokovima za korisnike norme:

Posljednji datum za audite za inicijalnu certifikaciju ili recertifikaciju prema "staroj" normi ISO 27001:2013 

  • Nakon 30. travnja 2024. DQS će provoditi certifikacijske i recertifikacijske audite isključivo prema novom standardu ISO/IEC 27001:2022

Prijelaz svih postojećih certifikata sa "stare" ISO/IEC 27001:2013 na novu normu ISO/IEC 27001:2022 

  • Prijelazni period od 3 godine započinje 1. listopada 2022.
  • Certifikati izdani prema normi ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 valjani su najkasnije do 31. listopada 2025., ili na ovaj datum trebaju biti povučeni. 

Nova norma ISO/IEC 27001:2022 - Zaključak

Nova norma ISO/IEC 27001:2022 je sada dostupna. Time započinje trogodišnje prijelazno razdoblje.

Ukratko, glavne inovacije su:

  • Sukladnost sustava upravljanja s harmoniziranom strukturom.
  • Naglasak na procesnoj orijentaciji, interakcijama i kriterijima procesa.  
  • Pojednostavljena i poboljšana kategorizacija kontrola u tematske blokove.
  • Suvremene mjere u skladu s trenutnim organizacijskim metodama i pveznaim prijetnjama. 
  • Atributi za usklađivanje kontrola s različitim metodologijama za upravljanje rizicima, uključujući globalne okvire kibernetičke sigurnosti.
gerber-hermsdorf-werner-korall-audit dqs

Imate li pitanja?

Obratite nam se!

Bez obveza i besplatno.

Pošaljite upit

Povjerenje i stručnost

Naše tekstove i brošure pišu isključivo naši stručnjaci za norme ili dugogodišnji auditori. Ako imate pitanja o sadržaju teksta ili našim uslugama za autora, slobodno nam pošaljite e-mail.

ISO 27001 - Sustav upravljanja informacijskom sigurnošću

Holistički sustav upravljanja prema ISO normi  ★ Djelotvorna implementacija procesa upravljanja rizicima ★ Stalno poboljšavanje razine sigurnosti

Više informacija o ISO 27001
Autor
Markus Jegelka

Stručnjak DQS-a za sustave upravljanja informacijskom sigurnošću i dugogodišnji auditor za norme ISO 9001, ISO/IEC 27001 i IT katalog sigurnosti prema članku 11.1a/b njemačkog Zakona o energiji (EnWG) s osposobljenošću za postupak ispitivanja za § 8a (3) BSIG.

Imate li pitanja?

Tu smo za vas.
Obratite nam se