Normatív változások az ISO/IEC 27001:2022-ben
Egy nagyon jelentős változás a 4.4. pontban a szervezet kontextusát egészíti ki azzal a követelménnyel, hogy az ISMS-en belül azonosítani kell a szükséges folyamatokat és azok kölcsönhatásait, amelyek az ISMS megvalósításához és fenntartásához szükségesek. Ez a kifejezett követelmény összhangba hozza az ISO/IEC 27001:2022 szabványt a HS (HLS) szerinti más irányítási rendszerek legjobb gyakorlat szerinti megközelítésével. Az információbiztonsági irányítási rendszernek a kialakított, nyomon követhető folyamatokon és azok kölcsönhatásain kell alapulnia. Az A. melléklet szerinti információbiztonsági ellenőrzéseket ezután e folyamatok köré tervezik és igazítják.
A 8.1. pont következő vonatkozó módosítása szintén a folyamatközpontúság fontosságát hangsúlyozza, amely minden HS-alapú irányítási rendszerben közös. A szervezeteknek a folyamatokat az operatív tervezés és ellenőrzés részeként kell megvalósítaniuk az információbiztonsági kockázatok kezelésére irányuló intézkedések végrehajtása érdekében. Az újdonság az, hogy most már meg kell határozni a folyamatok kritériumait. A folyamatirányítást e kritériumoknak megfelelően kell végrehajtani.
További, inkább kisebb pontosítások és pontosítások történtek a következő pontokban:
- Az 5.3. pont kiegészült azzal a kifejezett követelménnyel, hogy az információbiztonsággal kapcsolatos szerepkörök felelősségi és hatáskörei ismertek legyenek a szervezeten belül.
- A 7.4. pont szabályozza az ISMS-szel kapcsolatos belső és külső kommunikáció szükségességét. A mit, mikor és kivel kapcsolatos, továbbra is alkalmazandó rendelkezések mellett a kommunikáció mikéntje is működőképes egyszerűsítés a korábbi követelményekhez képest.
- A 9.2. belső audit és a 9.3. vezetői felülvizsgálat pont a harmonizált struktúrához igazodik. A 9.2 pont most 9.2.1 és 9.2.2 pontra, a 9.3 pont pedig három alszakaszra, a 9.3.1, 9.3.2 és 9.3.3 pontra oszlik.
- A 10.1. és a 10.2. szakasz felépítésének sorrendjét a harmonizált szerkezethez igazították. A 10.1. szakaszban a 10.2. szakaszban a prospektív folyamatos javítás szempontja most már további tartalmi változtatások nélkül megelőzi a 10.1. szakaszban a nem megfelelőségek és korrekciós intézkedések retrospektív kezelését. Ez a kiigazítás a folyamatos fejlesztési folyamat (CIP) fontosságát hangsúlyozza.
Az ISO/IEC 27001 szabványban az A mellékletben szereplő ellenőrzésekre hivatkozó kulcsfontosságú és egyértelmű követelmények a 6.1.3.c) pont szerint a szervezet-specifikus információbiztonsági ellenőrzések és az A. mellékletben szereplő ellenőrzések összehasonlítási folyamata, valamint a 6.1.3.d) pont szerint az Alkalmazhatósági nyilatkozat (SoA) elkészítése. Ezek az alapvető követelmények változatlanok maradnak!
A 6.1.3. c) ponthoz fűzött tájékoztató (nem normatív) megjegyzésekben szereplő magyarázatok az A. mellékletre, mint a lehetséges információbiztonsági ellenőrzések listájára való hivatkozással jelzik a további intézkedéseknek az A. mellékletet kiegészítő további forrásokból történő kiválasztásának lehetőségét.
Az ISO/IEC 27001:2022 szabvány új A melléklete
Az ISO/IEC 27001:2022 szabvány A mellékletének lehetséges információbiztonsági (IS) ellenőrzések listája azonos módon származik az ISO/IEC 27002:2022 szabványból. Az általános biztonsági ellenőrzések katalógusát 2022 februárjában tették közzé. Ezért az ISO/IEC 27001:2022 A mellékletének változásai már egy ideje előre láthatóak voltak. Korábban az A melléklet összesen 114 olyan ellenőrzést tartalmazott, amelyekkel az információbiztonsági kockázatokat lehetett kezelni 35 ellenőrzési célkitűzés alatt, 14 záradékba szervezve.
Eltekintve attól, hogy az új ISO/IEC 27001:2022 megszünteti az ellenőrzési célokat, az A. mellékletben szereplő információbiztonsági ellenőrzéseket felülvizsgálták, aktualizálták, valamint néhány új ellenőrzéssel kiegészítették és átszervezték.
Az A melléklet korábbi 14 pontja most a következő 4 témakörre összpontosít:
A.5. Szervezeti ellenőrzések (37 ellenőrzéssel).
A.6. Személyi ellenőrzések (8 ellenőrzéssel)
A.7. Fizikai ellenőrzések (14 ellenőrzéssel).
A.8. Műszaki ellenőrzések (34 ellenőrzéssel)
Az új ISO/IEC 27001:2022 változat A melléklete most összesen 93 ellenőrzést tartalmaz, amelyek közül a következő 11 ellenőrzés új:
A.5.7. Fenyegetés-felderítés
A.5.23. Információbiztonság a felhőszolgáltatások használatára vonatkozóan
A.5.30. IKT-felkészültség az üzletmenet folytonosságához
A.7.4. Fizikai biztonsági felügyelet
A.8.9. Konfigurációkezelés
A.8.10. Az információk törlése
A.8.11. Adatmaszkolás
A.8.12. Adatszivárgás megelőzése
A.8.16. Tevékenység-felügyelet
A.8.23. Webszűrés
A.8.28. Biztonságos kódolás
Míg az ISO/IEC 27001:2022 A melléklete az ellenőrzések megnevezésére korlátozódik, az ISO/IEC 27002:2022 végrehajtási útmutató további lehetőségeket biztosít a kategorizálásra. Ebben minden egyes ellenőrzéshez öt attribútumot rendelnek, amelyek különböző nézeteket és nézőpontokat tesznek lehetővé. Az attribútumok vagy attribútumértékeik szűrésre, rendezésre vagy megjelenítésre használhatók a különböző szervezeti nézetekhez.
Az öt attribútum a következő:
Az ellenőrzés típusa egy attribútum, amely az ellenőrzéseknek abból a szempontból történő megtekintésére szolgál, hogy egy intézkedés mikor és hogyan változtatja meg az információbiztonsági incidens bekövetkezésével kapcsolatos kockázatot.
Az információbiztonsági tulajdonságok egy attribútum, amely az ellenőrzéseket abból a szempontból szemléli, hogy az intézkedés milyen védelmi célt hivatott támogatni.
A Cybersecurity Concepts (Kiberbiztonsági koncepciók ) abból a szempontból vizsgálja az ellenőrzéseket, hogy azok hogyan illeszkednek az ISO/IEC TS 27110 szabványban leírt kiberbiztonsági keretrendszerhez.
Az Operational Capability (Működési képesség ) az ellenőrzéseket az operatív információbiztonsági képességek szempontjából vizsgálja, és támogatja az intézkedések gyakorlati felhasználói szemléletét.
A biztonsági területek egy olyan attribútum, amely lehetővé teszi, hogy az ellenőrzéseket négy információbiztonsági terület szemszögéből tekintsék.