Novi Aneks A standarda ISO/IEC 27001:2022
Lista mogućih kontrola bezbednosti informacija (IS) u normativnom Aneksu A standarda ISO/IEC 27001:2022 izvedena je identično iz ISO/IEC 27002:2022. Katalog opštih bezbednosnih kontrola objavljen je u februaru 2022. Stoga su promene u Aneksu A standarda ISO/IEC 27001:2022 bile predvidive već neko vreme. Ranije je Aneks A uključivao ukupno 114 kontrola koje su se mogle koristiti za rešavanje rizika bezbednosti informacija u okviru 35 kontrolnih ciljeva organizovanih u 14 klauzula.
Osim što novi ISO/IEC 27001:2022 eliminiše ciljeve kontrole, kontrole bezbednosti informacija u Aneksu A su revidirane, ažurirane i dopunjene i reorganizovane nekim novim kontrolama.
Prethodnih 14 klauzula Aneksa A sada su fokusirane na 4 sledeće teme:
A.5 Organizacione kontrole (sa 37 kontrola).
A.6 Lične kontrole (sa 8 kontrola)
A.7 Fizičke kontrole (sa 14 kontrola)
A.8 Tehničke kontrole (sa 34 kontrole)
Aneks A nove verzije ISO/IEC 27001:2022 sada uključuje ukupno 93 kontrole, od kojih je sledećih 11 kontrola novih:
A.5.7 Podaci obaveštenja o pretnji
A.5.23 Bezbednost informacija za korišćenje usluga u klaudu
A.5.30 ICT spremnost za kontinuitet poslovanja
A.7.4 Praćenje fizičkog obezbeđenja
A.8.9 Upravljanje konfiguracijom
A.8.10 Brisanje informacija
A.8.11 Maskiranje podataka
A.8.12 Sprečavanje curenja podataka
A.8.16 Praćenje aktivnosti
A.8.23 Veb filtriranje
A.8.28 Sigurno kodiranje
Dok je Aneks A standarda ISO/IEC 27001:2022 ograničen na imenovanje kontrola, smernice za implementaciju ISO/IEC 27002:2022 pruža dodatne opcije za njihovu kategorizaciju. Tamo, svakoj kontroli je dodeljeno pet atributa koji omogućavaju različite poglede i perspektive na njih. Atributi ili njihove vrednosti atributa se mogu koristiti za filtriranje, sortiranje ili prikaz za različite organizacione poglede.
Pet atributa su:
Tip kontrole je atribut za prikaz kontrola iz perspektive kada i kako mera menja rizik u vezi sa nastankom incidenta bezbednosti informacija.
Svojstva bezbednosti informacija su atribut za gledanje kontrola iz perspektive kog cilja zaštite mera treba da podrži.
Koncepti sajber bezbednosti posmatraju kontrole iz perspektive kako se one preslikavaju na okvir sajber bezbednosti opisan u ISO/IEC TS 27110.
Operativna sposobnost razmatra kontrole iz perspektive njihovih operativnih mogućnosti bezbednosti informacija i podržava praktičan korisnički pogled na mere.
Bezbednosni domeni su atribut koji omogućava da se kontrole posmatraju iz perspektive četiri domena bezbednosti informacija.