Normatívne zmeny v norme ISO/IEC 27001:2022
Veľmi významná zmena dopĺňa kontext organizácie v ustanovení 4.4 o požiadavku identifikovať potrebné procesy a ich interakcie v rámci ISMS, ktoré sú potrebné na jeho implementáciu a údržbu. Táto explicitná požiadavka zosúlaďuje normu ISO/IEC 27001:2022 s prístupom najlepších postupov iných systémov riadenia podľa HS (HLS). Systém riadenia informačnej bezpečnosti musí byť založený na zavedených, sledovateľných procesoch a ich interakciách. Na základe týchto procesov sú potom navrhnuté a prispôsobené kontroly bezpečnosti informácií podľa prílohy A.
Ďalšia relevantná zmena v ustanovení 8.1 tiež zdôrazňuje význam orientácie na procesy, ktorá je spoločná pre všetky systémy riadenia založené na HS. Organizácie musia realizovať procesy ako súčasť svojho operatívneho plánovania a kontroly na implementáciu opatrení na riadenie rizík informačnej bezpečnosti. Novinkou je, že teraz sa musia definovať kritériá procesov. V súlade s týmito kritériami sa musí realizovať procesné riadenie.
Ďalej boli vykonané skôr menšie objasnenia a spresnenia v nasledujúcich ustanoveniach:
- Ustanovenie 5.3 sa doplnilo o výslovnú požiadavku, aby boli v rámci organizácie známe zodpovednosti a právomoci za úlohy súvisiace s bezpečnosťou informácií.
- Ustanovenie 7.4 upravuje potrebu internej a externej komunikácie týkajúcej sa ISMS. Okrem stále platných ustanovení o tom, čo, kedy a s kým, je spôsob komunikácie oproti predchádzajúcim požiadavkám funkčným zjednodušením.
- Ustanovenie 9.2 Interný audit a 9.3 Preskúmanie vedením boli prispôsobené harmonizovanej štruktúre. Ustanovenie 9.2 je teraz rozdelené na 9.2.1 a 9.2.2, ustanovenie 9.3 je rozdelené na tri podčasti 9.3.1, 9.3.2 a 9.3.3.
- Poradie, v ktorom sú ustanovenia 10.1 a 10.2 štruktúrované, bolo prispôsobené harmonizovanej štruktúre. Aspekt perspektívneho trvalého zlepšovania teraz v ustanovení 10.1 predchádza retrospektívnemu riešeniu nezhôd a nápravných opatrení v ustanovení10.2 bez ďalších obsahových zmien. Táto úprava zdôrazňuje význam procesu neustáleho zlepšovania (CIP).
Kľúčovými a jednoznačnými požiadavkami v norme ISO/IEC 27001, ktoré odkazujú na súbor kontrol v prílohe A, sú podľa ustanovenia 6.1.3 c) proces porovnania kontrol bezpečnosti informácií špecifických pre organizáciu s kontrolami v prílohe A a podľa ustanovenia 6.1.3 d) príprava vyhlásenia o uplatniteľnosti (SoA). Tieto základné požiadavky zostávajú nezmenené!
Vysvetlenia v informatívnych (nenormatívnych) poznámkach k bodu 6.1.3 c) s odkazom na prílohu A ako zoznam možných kontrol bezpečnosti informácií naznačujú možnosť výberu ďalších opatrení z ďalších zdrojov, ktoré dopĺňajú prílohu A.
Nová príloha A normy ISO/IEC 27001:2022
Zoznam možných kontrol bezpečnosti informácií (IS) v normatívnej prílohe A normy ISO/IEC 27001:2022 je odvodený identicky z normy ISO/IEC 27002:2022. Katalóg všeobecných bezpečnostných kontrol bol uverejnený vo februári 2022. Zmeny v prílohe A normy ISO/IEC 27001:2022 sa preto dali predvídať už nejaký čas. Predtým príloha A obsahovala celkovo 114 kontrol, ktoré sa mohli použiť na riešenie rizík informačnej bezpečnosti v rámci 35 cieľov kontroly usporiadaných do 14 bodov.
Okrem toho, že nová norma ISO/IEC 27001:2022 odstraňuje ciele kontroly, kontroly informačnej bezpečnosti v prílohe A boli revidované, aktualizované a doplnené a reorganizované o niektoré nové kontroly.
Pôvodných 14 článkov prílohy A je teraz zameraných na 4 nasledujúce témy:
A.5 Organizačné kontroly (s 37 kontrolami).
A.6 Osobné kontroly (s 8 kontrolami)
A.7 Fyzické kontroly (so 14 kontrolami)
A.8 Technické kontroly (s 34 kontrolami)
Príloha A novej verzie normy ISO/IEC 27001:2022 teraz obsahuje celkovo 93 kontrol, z ktorých je nasledujúcich 11 kontrol nových:
A.5.7 Spravodajstvo o hrozbách
A.5.23 Bezpečnosť informácií pri používaní cloudových služieb
A.5.30 Pripravenosť IKT na zabezpečenie kontinuity činností
A.7.4 Monitorovanie fyzickej bezpečnosti
A.8.9 Riadenie konfigurácie
A.8.10 Vymazávanie informácií
A.8.11 Maskovanie údajov
A.8.12 Predchádzanie úniku údajov
A.8.16 Monitorovanie činnosti
A.8.23 Filtrovanie webových stránok
A.8.28 Bezpečné kódovanie
Zatiaľ čo príloha A normy ISO/IEC 27001:2022 sa obmedzuje na pomenovanie kontrolných mechanizmov, implementačná príručka ISO/IEC 27002:2022 poskytuje ďalšie možnosti ich kategorizácie. Tam je každej kontrole priradených päť atribútov, ktoré umožňujú rôzne pohľady a perspektívy na ne. Atribúty alebo hodnoty ich atribútov možno použiť na filtrovanie, triedenie alebo zobrazenie pre rôzne organizačné pohľady.
Týchto päť atribútov je nasledovných:
Typ kontroly je atribút pre pohľad na kontroly z hľadiska toho, kedy a ako opatrenie mení riziko súvisiace s výskytom incidentu informačnej bezpečnosti.
Vlastnosti informačnej bezpečnosti je atribút pre zobrazenie kontrol z pohľadu toho, aký cieľ ochrany má opatrenie podporovať.
Koncepcie kybernetickej bezpečnosti sa pozerajú na kontroly z hľadiska toho, ako sa vzťahujú na rámec kybernetickej bezpečnosti opísaný v norme ISO/IEC TS 27110.
Operational Capability (Prevádzková spôsobilosť) posudzuje kontroly z hľadiska ich prevádzkových spôsobilostí v oblasti informačnej bezpečnosti a podporuje praktický pohľad používateľa na opatrenia.
Domény bezpečnosti je atribút, ktorý umožňuje posudzovať kontroly z hľadiska štyroch oblastí informačnej bezpečnosti.