Zmiany normatywne w ISO/IEC 27001:2022
Bardzo istotna zmiana dodaje do kontekstu organizacji w Klauzuli 4.4 wymaganie identyfikacji niezbędnych procesów i ich interakcji w ramach ISMS, które są wymagane do jego wdrożenia i utrzymania. To wyraźne wymaganie sprawia, że ISO/IEC 27001:2022 jest zgodne z podejściem najlepszych praktyk innych systemów zarządzania według HS (HLS). System zarządzania bezpieczeństwem informacji musi być oparty na ustanowionych, identyfikowalnych procesach i ich interakcjach. Środki kontroli bezpieczeństwa informacji wymienione w załączniku A są następnie projektowane i dostosowywane wokół tych procesów.
Następna istotna zmiana w klauzuli 8.1 również podkreśla znaczenie orientacji na procesy, która jest wspólna dla wszystkich systemów zarządzania opartych na HS. Organizacje muszą realizować procesy jako część planowania operacyjnego i kontroli w celu wdrożenia środków zarządzania ryzykiem bezpieczeństwa informacji. Nowością jest to, że obecnie muszą być zdefiniowane kryteria procesów. Kontrola procesów musi być wdrożona zgodnie z tymi kryteriami.
Ponadto, w kolejnych klauzulach wprowadzono raczej drobne wyjaśnienia i specyfikacje:
- Klauzula5.3 została uzupełniona o wyraźne wymaganie, aby obowiązki i uprawnienia dla ról związanych z bezpieczeństwem informacji były znane w organizacji.
- Klauzula7.4 reguluje potrzebę wewnętrznej i zewnętrznej komunikacji dotyczącej ISMS. Oprócz wciąż obowiązujących przepisów dotyczących tego, o czym, kiedy i z kim, sposób komunikacji jest praktycznym uproszczeniem w stosunku do poprzednich wymagań.
- Klauzula 9.2 Audyt wewnętrzny i 9.3 Przegląd zarządzania zostały dostosowane do zharmonizowanej struktury. Klauzula 9.2 jest obecnie podzielona na 9.2.1 i 9.2.2, a klauzula 9.3 na trzy podrozdziały 9.3.1, 9.3.2 i 9.3.3.
- Kolejność, w jakiej zbudowane są klauzule 10.1 i 10.2, została dostosowana do struktury zharmonizowanej. Aspekt perspektywicznego ciągłego doskonalenia poprzedza teraz retrospektywne postępowanie z niezgodnościami i działaniami korygującymi w klauzuli 10.2 w klauzuli 10.1 bez żadnych dalszych zmian w treści. To dostosowanie podkreśla znaczenie procesu ciągłego doskonalenia (CIP).
Kolejne wyjaśnienie dotyczy wyboru środków postępowania z ryzykiem w zakresie bezpieczeństwa informacji Klauzula 6.1.3 c). Mają one zostać zdefiniowane z uwzględnieniem wyników oceny ryzyka i porównane z kontrolami Załącznik A. Podejście to pozostaje bez zmian. Jednak objaśnienia w poprzedniej ISO 27001 odnosiły się do Załącznika A z dość obsesyjnym wymaganiem, aby zawierał on wyczerpującą listę celów kontroli i kontroli.
W nowej normie ISO/IEC 27001:2022 to odniesienie do załącznika A można rozumieć jako listę możliwych kontroli bezpieczeństwa informacji, która jest bardziej otwarta, a przez to bardziej elastycznie stosowana.
Jednym słowem, załącznik A do normy ISO/IEC 27001:2022 nadal należy traktować jako całość, jako część obowiązkowego wymagania w klauzuli 6.1.3 c), ale zawarty w nim zestaw poszczególnych środków bezpieczeństwa informacji może być bardziej elastycznie wybierany, projektowany i rozszerzany przez użytkownika. Nowa wersja ISO/IEC 27001 podkreśla tutaj otwarcie ram systemu zarządzania na specyficzne dla danej organizacji zestawy środków kontroli.
Nowy załącznik A do normy ISO/IEC 27001:2022
Lista możliwych kontroli bezpieczeństwa informacji (IS) w normatywnym załączniku A normy ISO/IEC 27001:2022 wywodzi się identycznie z normy ISO/IEC 27002:2022. Katalog ogólnych kontroli bezpieczeństwa został opublikowany w lutym 2022 roku. Dlatego zmiany w załączniku A do normy ISO/IEC 27001:2022 były możliwe do przewidzenia od pewnego czasu. Wcześniej załącznik A zawierał łącznie 114 kontroli, które można było wykorzystać do przeciwdziałania ryzykom związanym z bezpieczeństwem informacji w ramach 35 celów kontrolnych zorganizowanych w 14 klauzulach.
Poza tym, że nowa norma ISO/IEC 27001:2022 eliminuje cele kontrolne, kontrole bezpieczeństwa informacji w załączniku A zostały zrewidowane, uaktualnione oraz uzupełnione i zreorganizowane o kilka nowych kontroli.
Poprzednie 14 klauzul załącznika A koncentruje się obecnie na 4 następujących tematach:
A.5 Kontrole organizacyjne (z 37 kontrolami).
A.6 Kontrole osobiste (z 8 kontrolami)
A.7 Kontrole fizyczne (z 14 kontrolami)
A.8 Kontrole techniczne (z 34 kontrolami)
Załącznik A nowej wersji ISO/IEC 27001:2022 zawiera obecnie łącznie 93 kontrole, z czego 11 poniższych kontroli jest nowych:
A.5.7 Wywiad o zagrożeniach (Threat Intelligence)
A.5.23 Bezpieczeństwo informacji w zakresie korzystania z usług w chmurze
A.5.30 Gotowość ICT do zapewnienia ciągłości działania
A.7.4 Monitorowanie bezpieczeństwa fizycznego
A.8.9 Zarządzanie konfiguracją
A.8.10 Usuwanie informacji
A.8.11 Maskowanie danych
A.8.12 Zapobieganie wyciekom danych
A.8.16 Monitorowanie aktywności
A.8.23 Filtrowanie stron internetowych
A.8.28 Bezpieczne kodowanie
O ile załącznik A do normy ISO/IEC 27001:2022 ogranicza się do nazwania kontroli, o tyle przewodnik wdrożeniowy ISO/IEC 27002:2022 daje dalsze możliwości ich kategoryzacji. Tam każdej kontroli przypisano pięć atrybutów, które umożliwiają różne spojrzenia i perspektywy na nie. Atrybuty lub ich wartości atrybutów mogą być używane do filtrowania, sortowania lub wyświetlania dla różnych widoków organizacyjnych.
Te pięć atrybutów to:
Typ kontroli to atrybut umożliwiający widok kontroli z perspektywy tego, kiedy i jak dany środek zmienia ryzyko związane z wystąpieniem incydentu bezpieczeństwa informacji.
Właściwości bezpieczeństwa informacji to atrybut pozwalający spojrzeć na kontrole z perspektywy tego, jaki cel ochrony ma wspierać dany środek.
Koncepcje bezpieczeństwa cybernetycznego patrzą na kontrole z perspektywy tego, jak odwzorowują one ramy bezpieczeństwa cybernetycznego opisane w ISO/IEC TS 27110.
Operational Capability rozpatruje kontrole z perspektywy ich operacyjnych możliwości w zakresie bezpieczeństwa informacji i wspiera praktyczny pogląd użytkownika na środki.
Domeny bezpieczeństwa to atrybut, który pozwala na postrzeganie kontroli z perspektywy czterech domen bezpieczeństwa informacji.