Az értékteremtő üzleti folyamatokat az információ és az adatok vezérlik. Információcsere nélkül semmi sem működik digitális gazdaságunkban. Alapvető szolgáltatásaink olyan kritikus infrastruktúrákon alapulnak, amelyek működése nagymértékben függ az információ- és adatcserétől. Az információbiztonság messze belenyúlik munkánk és életünk valóságába. Az információvezérelt napi működés, a kritikus adatok és a szellemi tulajdon védelme a kiberfenyegetésekkel szemben ezért minden méretű vállalkozás számára elengedhetetlen. Az iparosított kibertámadások korában a folyamatosan változó információbiztonsági kockázatokhoz való alkalmazkodás időbeni és rugalmas megközelítést igényel a vállalati ellenálló képesség kiépítéséhez.


És pontosan itt lép be az új ISO/IEC 27001:2022, amely az információbiztonsági irányítás folyamatközpontúságára helyezi a hangsúlyt. Az ISO 27001 szabvány több mint két évtizede az információbiztonsági irányítási rendszerek bevált, de elöregedő alapját képezi. És a kora ellenére az ISO felmérése szerint a szabvány képes volt növekedni: a tanúsítványok száma 32%-kal nőtt a 2021-es évben. A korszerű információbiztonsági értékelési keretrendszer iránti növekvő igényre tekintettel 2022. október 25-én megjelent az új ISO/IEC 27001:2022 szabvány. Mi várható?

Loading...

Az ISO 27001:2022 új jellemzőinek áttekintése

Az ISO 27001 leírja az információbiztonsági irányítási rendszer (röviden ISMS) keretrendszerét - mégpedig a vállalatok számára, függetlenül a szervezeti felépítéstől, mérettől és irányultságtól. A központi elem itt a kockázatkezelés. A változó kiberfenyegetések folyamatosan új potenciális sebezhetőségeket használnak ki a vállalatoknál azzal a céllal, hogy megtámadják és veszélybe sodorják az információáramlást és ezáltal az üzleti folyamatokat. Az információbiztonság három alapvető védelmi célját - a titkosságot, az integritást és a rendelkezésre állást - érintő, ebből a mechanizmusból eredő kockázatokat azonosítani és kezelni kell.

Az ISO/IEC 27001:2022 szabvány frissített változata ezen információbiztonsági kockázatok kezelésének legjobb gyakorlataival foglalkozik. Az új ISO/IEC 27001:2022 szabvány A mellékletében szereplő lehetséges információbiztonsági ellenőrzések listája azonos módon származik a felülvizsgált ISO/IEC 27002:2022 útmutatóból. A végrehajtási útmutatót már ez év februárjában elfogadták, egyszerűbb taxonómiával és korszerű biztonsági ellenőrzésekkel. Az új ISO/IEC 27001:2022 közzétételével a 27001/27002 sikeres ISO-szabványtandem az értékes ajánlott intézkedésekkel ismét a technika állása.

whitepaper-ISO 27001-faq-dqs-cover picture
Loading...

ISO/IEC 27001:2022 Gyakran ismételt kérdések


"Az új" információbiztonsági irányelv: 38 kérdés és válasz
Amit az információbiztonság "újdonságáról" tudni kell: szakértőnk 38 válasza 38 felhasználói kérdésre, mint például: 
- Miről szólnak az új ellenőrzések?
- Mikor kell áttérni az új szabványra?
- Hol találom a régi vs. új megfeleltetések listáját? 
- ... valamint további 35 kérdésre! 

Az új ISO/IEC 27001:2022 másik jelentős változása, hogy az úgynevezett harmonizált struktúrához való igazodással a folyamatorientáltság régóta esedékes követelménye kerül a hatékony ISMS középpontjába. A hatékony irányítási rendszerek alapja a világos folyamatok és azok kölcsönhatásai, valamint e folyamatok célorientált kritériumai az ellenőrzésükhöz.

A következőkben az ISO 27001 új változatának három változtatási területét vesszük közelebbről szemügyre.

A magas szintű struktúra harmonizált struktúrává válik

2021 májusától a korábbi Magas szintű struktúrát (High Level Structure, HLS) a Harmonizált struktúra (Harmonized Structure, HS) váltja fel. A HS az új és a meglévő ISO irányítási rendszerszabványok jövőbeli felülvizsgálatainak kidolgozásához szükséges alapstruktúra és sablon. Az ISO/IEC 27001:2022 az egyik első irányítási rendszerszabvány, amelyet a HS-hez igazítanak. A szabványt ismerő felhasználók számára meglehetősen érdekesek a HS-ben a HLS-hez képest a különböző pontosítások, kiegészítések, de a törlések is.

Az ISO/IEC 27001:2022 esetében azonban közvetlenül látható egy jelentős levezetés a HR-ből. A 6.3. pont a jövőben az ISMS tervezett módosításait írja elő. Ez a követelmény más irányítási rendszerekből ismerős, és azt az elvárást fejezi ki, hogy az ISMS-sel kapcsolatos változtatási folyamatot elsajátították. Például a korábbi ISO/IEC 27001:2013-ról az új ISO/IEC 27001:2022-re való átállás az ISMS olyan változásaként értelmezhető, amelyet annak minden hatásával és kölcsönhatásával együtt tervszerűen kell végrehajtani.

ISO/IEC 27001:2022-10 - Információbiztonság, kiberbiztonság és adatvédelem - Információbiztonsági irányítási rendszerek - Követelmények
A szabvány angol nyelven elérhető az ISO honlapon.

ISO 27001 - Információbiztonsági irányítási rendszer

Az ISO-szabvány szerinti holisztikus irányítási rendszer ★ Kockázatkezelési folyamat hatékony végrehajtása ★ A biztonsági szint folyamatos javítása

További információ az ISO 27001-ről

Normatív változások az ISO/IEC 27001:2022-ben

Egy nagyon jelentős változás a 4.4. pontban a szervezet kontextusát egészíti ki azzal a követelménnyel, hogy az ISMS-en belül azonosítani kell a szükséges folyamatokat és azok kölcsönhatásait, amelyek az ISMS megvalósításához és fenntartásához szükségesek. Ez a kifejezett követelmény összhangba hozza az ISO/IEC 27001:2022 szabványt a HS (HLS) szerinti más irányítási rendszerek legjobb gyakorlat szerinti megközelítésével. Az információbiztonsági irányítási rendszernek a kialakított, nyomon követhető folyamatokon és azok kölcsönhatásain kell alapulnia. Az A. melléklet szerinti információbiztonsági ellenőrzéseket ezután e folyamatok köré tervezik és igazítják.

A 8.1. pont következő vonatkozó módosítása szintén a folyamatközpontúság fontosságát hangsúlyozza, amely minden HS-alapú irányítási rendszerben közös. A szervezeteknek a folyamatokat az operatív tervezés és ellenőrzés részeként kell megvalósítaniuk az információbiztonsági kockázatok kezelésére irányuló intézkedések végrehajtása érdekében. Az újdonság az, hogy most már meg kell határozni a folyamatok kritériumait. A folyamatirányítást e kritériumoknak megfelelően kell végrehajtani.

További, inkább kisebb pontosítások és pontosítások történtek a következő pontokban:

  • Az 5.3. pont kiegészült azzal a kifejezett követelménnyel, hogy az információbiztonsággal kapcsolatos szerepkörök felelősségi és hatáskörei ismertek legyenek a szervezeten belül.
  • 7.4. pont szabályozza az ISMS-szel kapcsolatos belső és külső kommunikáció szükségességét. A mit, mikor és kivel kapcsolatos, továbbra is alkalmazandó rendelkezések mellett a kommunikáció mikéntje is működőképes egyszerűsítés a korábbi követelményekhez képest.
  • 9.2. belső audit és a 9.3. vezetői felülvizsgálat pont a harmonizált struktúrához igazodik. A 9.2 pont most 9.2.1 és 9.2.2 pontra, a 9.3 pont pedig három alszakaszra, a 9.3.1, 9.3.2 és 9.3.3 pontra oszlik.
  • A 10.1. és a 10.2. szakasz felépítésének sorrendjét a harmonizált szerkezethez igazították. A 10.1. szakaszban a 10.2. szakaszban a prospektív folyamatos javítás szempontja most már további tartalmi változtatások nélkül megelőzi a 10.1. szakaszban a nem megfelelőségek és korrekciós intézkedések retrospektív kezelését. Ez a kiigazítás a folyamatos fejlesztési folyamat (CIP) fontosságát hangsúlyozza.

Az ISO/IEC 27001 szabványban az A mellékletben szereplő ellenőrzésekre hivatkozó kulcsfontosságú és egyértelmű követelmények a 6.1.3.c) pont szerint a szervezet-specifikus információbiztonsági ellenőrzések és az A. mellékletben szereplő ellenőrzések összehasonlítási folyamata, valamint a 6.1.3.d) pont szerint az Alkalmazhatósági nyilatkozat (SoA) elkészítése. Ezek az alapvető követelmények változatlanok maradnak!

A 6.1.3. c) ponthoz fűzött tájékoztató (nem normatív) megjegyzésekben szereplő magyarázatok az A. mellékletre, mint a lehetséges információbiztonsági ellenőrzések listájára való hivatkozással jelzik a további intézkedéseknek az A. mellékletet kiegészítő további forrásokból történő kiválasztásának lehetőségét.

 

Az ISO/IEC 27001:2022 szabvány új A melléklete

Az ISO/IEC 27001:2022 szabvány A mellékletének lehetséges információbiztonsági (IS) ellenőrzések listája azonos módon származik az ISO/IEC 27002:2022 szabványból. Az általános biztonsági ellenőrzések katalógusát 2022 februárjában tették közzé. Ezért az ISO/IEC 27001:2022 A mellékletének változásai már egy ideje előre láthatóak voltak. Korábban az A melléklet összesen 114 olyan ellenőrzést tartalmazott, amelyekkel az információbiztonsági kockázatokat lehetett kezelni 35 ellenőrzési célkitűzés alatt, 14 záradékba szervezve.

Eltekintve attól, hogy az új ISO/IEC 27001:2022 megszünteti az ellenőrzési célokat, az A. mellékletben szereplő információbiztonsági ellenőrzéseket felülvizsgálták, aktualizálták, valamint néhány új ellenőrzéssel kiegészítették és átszervezték.

Az A melléklet korábbi 14 pontja most a következő 4 témakörre összpontosít:

A.5. Szervezeti ellenőrzések (37 ellenőrzéssel).

A.6. Személyi ellenőrzések (8 ellenőrzéssel)

A.7. Fizikai ellenőrzések (14 ellenőrzéssel).

A.8. Műszaki ellenőrzések (34 ellenőrzéssel)

Az új ISO/IEC 27001:2022 változat A melléklete most összesen 93 ellenőrzést tartalmaz, amelyek közül a következő 11 ellenőrzés új:

A.5.7. Fenyegetés-felderítés

A.5.23. Információbiztonság a felhőszolgáltatások használatára vonatkozóan

A.5.30. IKT-felkészültség az üzletmenet folytonosságához

A.7.4. Fizikai biztonsági felügyelet

A.8.9. Konfigurációkezelés

A.8.10. Az információk törlése

A.8.11. Adatmaszkolás

A.8.12. Adatszivárgás megelőzése

A.8.16. Tevékenység-felügyelet

A.8.23. Webszűrés

A.8.28. Biztonságos kódolás

Míg az ISO/IEC 27001:2022 A melléklete az ellenőrzések megnevezésére korlátozódik, az ISO/IEC 27002:2022 végrehajtási útmutató további lehetőségeket biztosít a kategorizálásra. Ebben minden egyes ellenőrzéshez öt attribútumot rendelnek, amelyek különböző nézeteket és nézőpontokat tesznek lehetővé. Az attribútumok vagy attribútumértékeik szűrésre, rendezésre vagy megjelenítésre használhatók a különböző szervezeti nézetekhez.

Az öt attribútum a következő:

Az ellenőrzés típusa egy attribútum, amely az ellenőrzéseknek abból a szempontból történő megtekintésére szolgál, hogy egy intézkedés mikor és hogyan változtatja meg az információbiztonsági incidens bekövetkezésével kapcsolatos kockázatot.

Az információbiztonsági tulajdonságok egy attribútum, amely az ellenőrzéseket abból a szempontból szemléli, hogy az intézkedés milyen védelmi célt hivatott támogatni.

Cybersecurity Concepts (Kiberbiztonsági koncepciók ) abból a szempontból vizsgálja az ellenőrzéseket, hogy azok hogyan illeszkednek az ISO/IEC TS 27110 szabványban leírt kiberbiztonsági keretrendszerhez.

Az Operational Capability (Működési képesség ) az ellenőrzéseket az operatív információbiztonsági képességek szempontjából vizsgálja, és támogatja az intézkedések gyakorlati felhasználói szemléletét.

biztonsági területek egy olyan attribútum, amely lehetővé teszi, hogy az ellenőrzéseket négy információbiztonsági terület szemszögéből tekintsék.

dqs-shutterstock-1702088602.jpg
Loading...

Az ISO/IEC 27001 új, a mai információs kockázatokhoz igazított változata 2022. október 25-én jelent meg. Mit jelent ez a szabvány felhasználói számára?

Ingyenes webinárium-felvételünkön részletesen bemutatjuk többek között az ISO/IEC 27001 tanúsítási alapot érintő lényeges változásokat, az új szabvány A. mellékletének új ellenőrzéseinek felépítését és tartalmát, valamint az új szabványra való átállás ütemezését és határidejét.

A webinárium áttekintése:

  • Az ISO/IEC 27001:2022 új jellemzői - keretrendszer és A melléklet 
  • ISO/IEC 27002:2022-02 - szerkezet, tartalom, jellemzők és hashtagek
  • Az átállás ütemezése és a következő lépések

Időtartam: 45:00 perc

Mit jelent a frissítés az Ön tanúsítása szempontjából?

Az ISO/IEC 27001 szabványt 2022. október 25-én tették közzé. Ez a következő határidőket és időkereteket eredményezi a felhasználók számára az átállásra:

Az ISO/IEC 27001:2022 szerinti tanúsítási készség

  • Legkésőbb 2023 novemberétől (a német akkreditáló szervtől, a DAkkS-től függően).   
    A "régi" ISO 27001:2013 szerinti kezdeti/újra-tanúsítási auditok utolsó időpontja 
  • 2024. április 30. után a DQS csak az új ISO/IEC 27001:2022 szabvány szerinti alap- és újratanúsítási auditokat fogja elvégezni.
    A "régi" ISO/IEC 27001:2013 szabvány szerinti összes meglévő tanúsítvány átállítása az új ISO/IEC 27001:2022 szabványra. 
  • 2022. október 31-től kezdődően 3 éves átmeneti időszak áll rendelkezésre. 
  • Az ISO/IEC 27001:2013 vagy DIN EN ISO/IEC 27001:2017 szerint kiadott tanúsítványok legkésőbb 2025. október 31-ig érvényesek, vagy ezen a napon vissza kell vonni őket.

Az új ISO/IEC 27001:2022 - Következtetés

Elérhető az új ISO/IEC 27001:2022 szabvány. Ezzel kezdetét veszi a 3 éves átmeneti időszak.

Összefoglalva a főbb újdonságok a következők:

  • Az irányítási rendszernek a harmonizált struktúrával való összhangja.
  • A folyamatközpontúság, annak kölcsönhatásainak és kritériumainak hangsúlyozása.
  • Az ellenőrzések tematikus blokkokba történő egyszerűsített és racionalizált kategorizálása.
  • A jelenlegi szervezeti módszerekhez és a kapcsolódó veszélyekhez igazított korszerű intézkedések.
  • Az ellenőrzések különböző kockázatkezelési módszertanokkal, köztük a globális kiberbiztonsági keretrendszerekkel való összehangolásának attribútumai.
gerber-hermsdorf-werner-korall-audit dqs
Loading...

Kérdése van?

Vegye fel velünk a kapcsolatot!

Kötelezettség nélkül és ingyenesen.

Bizalom és szakértelem

Szövegeinket és brosúráinkat kizárólag szabványügyi szakértőink vagy régóta dolgozó auditoraink írják. Ha bármilyen kérdése van a szöveg tartalmával vagy a szerzőnknek nyújtott szolgáltatásainkkal kapcsolatban, kérjük, küldjön nekünk egy e-mailt.

Szerző
Markus Jegelka

A DQS szakértője az információbiztonsági irányítási rendszerek (ISMS) területén, valamint az ISO 9001, az ISO/IEC 27001 és a német energiaipari törvény (EnWG) 11.1a. bekezdése szerinti IT biztonsági katalógusok tapasztalt auditora.

Loading...