Nová norma ISO/IEC 27001:2022 - kľúčové zmeny

• Nové prvky normy ISO 27001:2022 v skratke
• Štruktúra na vysokej úrovni sa stáva harmonizovanou štruktúrou
• Normatívne zmeny v norme ISO/IEC 27001:2022
• Nová príloha A normy ISO/IEC 27001:2022
• Čo znamená aktualizácia pre vašu certifikáciu?
• Nová norma ISO/IEC 27001:2022 - Záver

Prehľad nových prvkov normy ISO 27001:2022

Norma ISO 27001 opisuje rámec pre systém riadenia bezpečnosti informácií (skrátene ISMS) - a to pre spoločnosti bez ohľadu na organizačnú štruktúru, veľkosť alebo zameranie. Nosným prvkom je tu riadenie rizík. Meniace sa kybernetické hrozby neustále využívajú nové potenciálne zraniteľné miesta v spoločnostiach s cieľom napadnúť a ohroziť informačné toky, a tým aj obchodné procesy. Riziká vyplývajúce z tohto mechanizmu na tri základné ciele ochrany informačnej bezpečnosti - dôvernosť, integritu a dostupnosť - je potrebné identifikovať a riadiť.

Aktualizácia normy ISO/IEC 27001:2022 sa zaoberá osvedčenými postupmi riadenia týchto rizík informačnej bezpečnosti. Zoznam možných kontrolných mechanizmov informačnej bezpečnosti v normatívnej prílohe A novej normy ISO/IEC 27001:2022 je totožne odvodený z revidovaného usmernenia ISO/IEC 27002:2022. Usmernenie na implementáciu bolo prijaté už vo februári tohto roku s jednoduchšou taxonómiou a súčasnými bezpečnostnými kontrolami. Po zverejnení novej normy ISO/IEC 27001:2022 je úspešný tandem noriem ISO 27001/27002 s cennými odporúčanými opatreniami opäť na úrovni súčasného stavu.

Ďalšou významnou zmenou v novej norme ISO/IEC 27001:2022 je, že s prispôsobením sa takzvanej harmonizovanej štruktúre sa do centra pozornosti efektívneho ISMS dostáva dlho odkladaná požiadavka na orientáciu na procesy. Základom účinných systémov riadenia sú jasné procesy a ich interakcie, ako aj cieľovo orientované kritériá týchto procesov na ich riadenie.

V nasledujúcom texte sa bližšie pozrieme na tri oblasti zmien novej verzie normy ISO 27001.

Štruktúra na vysokej úrovni sa stáva harmonizovanou štruktúrou

Od mája 2021 je predchádzajúca štruktúra vysokej úrovne (HLS) nahradená harmonizovanou štruktúrou (HS). HS je základnou štruktúrou a vzorom pre vývoj nových a budúcich revízií existujúcich noriem systému manažérstva ISO. Norma ISO/IEC 27001:2022 je jednou z prvých noriem systému manažérstva, ktorá sa má prispôsobiť HS. Rôzne spresnenia, doplnenia, ale aj vypustenia v HS v porovnaní s HLS sú pre používateľov, ktorí normu poznajú, pomerne zaujímavé.

V prípade normy ISO/IEC 27001:2022 je však priamo viditeľné významné odvodenie od HS. V budúcnosti sa v článku 6.3 bude vyžadovať, aby sa zmeny v ISMS vykonávali plánovaným spôsobom. Táto požiadavka je známa z iných systémov riadenia a vyjadruje očakávanie, že proces zmien súvisiacich so systémom ISMS bol zvládnutý. Napríklad prechod z predchádzajúcej normy ISO/IEC 27001:2013 na novú normu ISO/IEC 27001:2022 možno chápať ako zmenu ISMS, ktorá by sa mala realizovať plánovaným spôsobom so všetkými jej účinkami a interakciami.

Normatívne zmeny v norme ISO/IEC 27001:2022

Veľmi významná zmena dopĺňa kontext organizácie v ustanovení 4.4 o požiadavku identifikovať potrebné procesy a ich interakcie v rámci ISMS, ktoré sú potrebné na jeho implementáciu a údržbu. Táto explicitná požiadavka zosúlaďuje normu ISO/IEC 27001:2022 s prístupom najlepších postupov iných systémov riadenia podľa HS (HLS). Systém riadenia informačnej bezpečnosti musí byť založený na zavedených, sledovateľných procesoch a ich interakciách. Na základe týchto procesov sú potom navrhnuté a prispôsobené kontroly bezpečnosti informácií podľa prílohy A.

Ďalšia relevantná zmena v ustanovení 8.1 tiež zdôrazňuje význam orientácie na procesy, ktorá je spoločná pre všetky systémy riadenia založené na HS. Organizácie musia realizovať procesy ako súčasť svojho operatívneho plánovania a kontroly na implementáciu opatrení na riadenie rizík informačnej bezpečnosti. Novinkou je, že teraz sa musia definovať kritériá procesov. V súlade s týmito kritériami sa musí realizovať procesné riadenie.

Ďalej boli vykonané skôr menšie objasnenia a spresnenia v nasledujúcich ustanoveniach:

• Ustanovenie 5.3 sa doplnilo o výslovnú požiadavku, aby boli v rámci organizácie známe zodpovednosti a právomoci za úlohy súvisiace s bezpečnosťou informácií.
• Ustanovenie 7.4 upravuje potrebu internej a externej komunikácie týkajúcej sa ISMS. Okrem stále platných ustanovení o tom, čo, kedy a s kým, je spôsob komunikácie oproti predchádzajúcim požiadavkám funkčným zjednodušením.
• Ustanovenie 9.2 Interný audit a 9.3 Preskúmanie vedením boli prispôsobené harmonizovanej štruktúre. Ustanovenie 9.2 je teraz rozdelené na 9.2.1 a 9.2.2, ustanovenie 9.3 je rozdelené na tri podčasti 9.3.1, 9.3.2 a 9.3.3.
• Poradie, v ktorom sú ustanovenia 10.1 a 10.2 štruktúrované, bolo prispôsobené harmonizovanej štruktúre. Aspekt perspektívneho trvalého zlepšovania teraz v ustanovení 10.1 predchádza retrospektívnemu riešeniu nezhôd a nápravných opatrení v ustanovení10.2 bez ďalších obsahových zmien. Táto úprava zdôrazňuje význam procesu neustáleho zlepšovania (CIP).

Kľúčovými a jednoznačnými požiadavkami v norme ISO/IEC 27001, ktoré odkazujú na súbor kontrol v prílohe A, sú podľa ustanovenia 6.1.3 c) proces porovnania kontrol bezpečnosti informácií špecifických pre organizáciu s kontrolami v prílohe A a podľa ustanovenia 6.1.3 d) príprava vyhlásenia o uplatniteľnosti (SoA). Tieto základné požiadavky zostávajú nezmenené!
Vysvetlenia v informatívnych (nenormatívnych) poznámkach k bodu 6.1.3 c) s odkazom na prílohu A ako zoznam možných kontrol bezpečnosti informácií naznačujú možnosť výberu ďalších opatrení z ďalších zdrojov, ktoré dopĺňajú prílohu A.

Nová príloha A normy ISO/IEC 27001:2022

Zoznam možných kontrol bezpečnosti informácií (IS) v normatívnej prílohe A normy ISO/IEC 27001:2022 je odvodený identicky z normy ISO/IEC 27002:2022. Katalóg všeobecných bezpečnostných kontrol bol uverejnený vo februári 2022. Zmeny v prílohe A normy ISO/IEC 27001:2022 sa preto dali predvídať už nejaký čas. Predtým príloha A obsahovala celkovo 114 kontrol, ktoré sa mohli použiť na riešenie rizík informačnej bezpečnosti v rámci 35 cieľov kontroly usporiadaných do 14 bodov.

Okrem toho, že nová norma ISO/IEC 27001:2022 odstraňuje ciele kontroly, kontroly informačnej bezpečnosti v prílohe A boli revidované, aktualizované a doplnené a reorganizované o niektoré nové kontroly.

Pôvodných 14 článkov prílohy A je teraz zameraných na 4 nasledujúce témy:

A.5 Organizačné kontroly (s 37 kontrolami).

A.6 Osobné kontroly (s 8 kontrolami)

A.7 Fyzické kontroly (so 14 kontrolami)

A.8 Technické kontroly (s 34 kontrolami)

Príloha A novej verzie normy ISO/IEC 27001:2022 teraz obsahuje celkovo 93 kontrol, z ktorých je nasledujúcich 11 kontrol nových:

A.5.7 Spravodajstvo o hrozbách

A.5.23 Bezpečnosť informácií pri používaní cloudových služieb

A.5.30 Pripravenosť IKT na zabezpečenie kontinuity činností

A.7.4 Monitorovanie fyzickej bezpečnosti

A.8.9 Riadenie konfigurácie

A.8.10 Vymazávanie informácií

A.8.11 Maskovanie údajov

A.8.12 Predchádzanie úniku údajov

A.8.16 Monitorovanie činnosti

A.8.23 Filtrovanie webových stránok

A.8.28 Bezpečné kódovanie

Zatiaľ čo príloha A normy ISO/IEC 27001:2022 sa obmedzuje na pomenovanie kontrolných mechanizmov, implementačná príručka ISO/IEC 27002:2022 poskytuje ďalšie možnosti ich kategorizácie. Tam je každej kontrole priradených päť atribútov, ktoré umožňujú rôzne pohľady a perspektívy na ne. Atribúty alebo hodnoty ich atribútov možno použiť na filtrovanie, triedenie alebo zobrazenie pre rôzne organizačné pohľady.

Týchto päť atribútov je nasledovných:

Typ kontroly je atribút pre pohľad na kontroly z hľadiska toho, kedy a ako opatrenie mení riziko súvisiace s výskytom incidentu informačnej bezpečnosti.

Vlastnosti informačnej bezpečnosti je atribút pre zobrazenie kontrol z pohľadu toho, aký cieľ ochrany má opatrenie podporovať.

Koncepcie kybernetickej bezpečnosti sa pozerajú na kontroly z hľadiska toho, ako sa vzťahujú na rámec kybernetickej bezpečnosti opísaný v norme ISO/IEC TS 27110.

Operational Capability (Prevádzková spôsobilosť) posudzuje kontroly z hľadiska ich prevádzkových spôsobilostí v oblasti informačnej bezpečnosti a podporuje praktický pohľad používateľa na opatrenia.

Domény bezpečnosti je atribút, ktorý umožňuje posudzovať kontroly z hľadiska štyroch oblastí informačnej bezpečnosti.

Čo znamená aktualizácia pre vašu certifikáciu?

Nová a vylepšená verzia normy ISO/IEC 27001 bola zverejnená 25. októbra 2022. Z toho vyplývajú nasledujúce časové rámce prechodu a termíny pre používateľov normy:

• Pripravenosť na certifikáciu podľa normy ISO/IEC 27001:2022
  -> pravdepodobne od júna/júla 2023
  (v závislosti od nemeckého akreditačného orgánu DAkkS)
• Posledný termín pre počiatočné/re-certifikačné audity podľa predchádzajúcej normy ISO 27001:2013
  -> 18 mesiacov po zverejnení novej normy ISO/IEC 27001:2022.
• Prechod všetkých existujúcich certifikátov na novú normu ISO/IEC 27001:2022
  -> 3 roky, vzťahujúce sa na posledný deň mesiaca vydania normy
  ISO/IEC 27001:2022 (október 2025)

Termíny prechodu sú podľa normy ISO.

Nová norma ISO/IEC 27001:2022 - Záver

Nová norma ISO/IEC 27001:2022 je k dispozícii. Znamená to začiatok trojročného prechodného obdobia.

Stručne povedané, hlavné inovácie sú tieto:

• Súlad systému riadenia s harmonizovanou štruktúrou.
• Dôraz na orientáciu na procesy, ich interakcie a kritériá.
• Zjednodušená a zefektívnená kategorizácia kontrol do tematických blokov.
• Súčasné opatrenia zosúladené so súčasnými organizačnými metódami a súvisiacimi hrozbami.
• Atribúty na zosúladenie kontrol s rôznymi metodikami riadenia rizík vrátane globálnych rámcov kybernetickej bezpečnosti.

Dôvera a odborné znalosti

Naše texty a brožúry píšu výlučne naši odborníci na normy alebo dlhoroční audítori. Ak máte akékoľvek otázky týkajúce sa obsahu textu alebo našich služieb pre nášho autora, neváhajte nám poslať e-mail.