Những thay đổi chính trong phiên bản ISO / IEC 27001: 2022 mới

Tổng quan về các tính năng mới của ISO 27001:2022

ISO 27001 mô tả khuôn khổ cho hệ thống quản lý bảo mật thông tin (viết tắt là ISMS) - và đây là khuôn khổ cho các công ty không phân biệt cơ cấu tổ chức, quy mô hay định hướng. Mấu chốt ở đây là quản lý rủi ro. Các mối đe dọa mạng đang thay đổi nhằm liên tục khai thác các lỗ hổng tiềm ẩn trong các công ty với mục đích tấn công và làm tổn hại đến các luồng thông tin và từ đó, gây ảnh hưởng đến hoạt động kinh doanh. Các rủi ro phát sinh từ cơ chế này đối với ba mục tiêu bảo vệ thiết yếu của an toàn thông tin - tính bảo mật, tính toàn vẹn và tính sẵn sàng - phải được nhận diện và quản lý.

Bản cập nhật ISO / IEC 27001: 2022 đề cập đến các phương pháp tốt nhất để quản lý các rủi ro bảo mật thông tin này. Danh sách các biện pháp khả thi để kiểm soát an toàn thông tin trong Phụ lục A của ISO / IEC 27001:2022 mới , có nguồn gốc từ hướng dẫn ISO / IEC 27002: 2022 đã được sửa đổi. Hướng dẫn triển khai đã được thông qua vào tháng 2 năm nay với cách phân loại đơn giản hơn và các biện pháp kiểm soát an ninh hiện đại. Với việc tiêu chuẩn ISO / IEC 27001: 2022 mới được xuất bản, bộ tiêu chuẩn song song ISO 27001/27002 cùng với các biện pháp được khuyến nghị trong đó một lần nữa trở nên hiện đại nhất.

Một thay đổi quan trọng khác trong ISO / IEC 27001: 2022 mới là, sự thích ứng với Cấu trúc hài hòa (Harmonized structure), những yêu cầu dài hạn theo định hướng quy trình được đặt vào trọng tâm của một ISMS hiệu quả. Cơ sở của các hệ thống quản lý hiệu quả là các quá trình rõ ràng và sự tương tác của chúng cũng như các tiêu chí định hướng mục tiêu để kiểm soát các quá trình này.

Trong phần sau, chúng ta sẽ xem xét kỹ hơn ba điểm thay đổi của phiên bản mới của ISO 27001

Cấu trúc bậc cao trở thành Cấu trúc hài hòa

Kể từ tháng 5 năm 2021, Cấu trúc Bậc cao (HLS) đã được thay thế bởi Cấu trúc Hài hòa (HS). HS là cấu trúc và khuôn mẫu cơ bản để phát triển các bản sửa đổi mới trong tương lai của các hệ thống tiêu chuẩn ISO hiện có. ISO / IEC 27001:2022 là một trong những hệ thống quản lý đầu tiên được điều chỉnh cho phù hợp với HS. Nhiều giải thích rõ ràng, bổ sung, cũng như xóa bỏ trong HS so với HLS khá thú vị đối với những người dùng đã quen thuộc với tiêu chuẩn.

Tuy nhiên, đối với ISO / IEC 27001: 2022, có thể nhìn thấy trực tiếp sự khác biệt đáng kể từ HS. Trong tương lai, Điều khoản 6.3 sẽ yêu cầu các thay đổi đối với ISMS phải được thực hiện một cách có kế hoạch. Yêu cầu này là quen thuộc với các hệ thống quản lý khác và thể hiện sự kỳ vọng rằng quá trình thay đổi liên quan đến ISMS đã được nắm vững. Ví dụ, việc chuyển đổi từ ISO / IEC 27001: 2013 trước đó sang ISO / IEC 27001: 2022 có thể được hiểu là một sự thay đổi cần được thực hiện , một cách có kế hoạch với tất cả các ảnh hưởng và tương tác của nó.

Những thay đổi trong tiêu chuẩn ISO / IEC 27001: 2022

Một thay đổi rất quan trọng bổ sung vào bối cảnh của tổ chức trong Điều 4.4 với yêu cầu xác định các quá trình cần thiết và tương tác của chúng trong ISMS được yêu cầu để thực hiện và duy trì tổ chức. Yêu cầu rõ ràng này đưa ISO / IEC 27001: 2022 phù hợp với cách tiếp cận thực tiễn tốt nhất của các hệ thống quản lý khác theo HS (HLS). Hệ thống quản lý an toàn thông tin phải dựa trên các quá trình được thiết lập và có thể theo dõi, cũng như các tương tác của chúng. Các biện pháp kiểm soát an toàn thông tin của Phụ lục A sau đó được thiết kế và điều chỉnh xung quanh các quy trình này.

Thay đổi có liên quan tiếp theo trong Điều 8.1 cũng nhấn mạnh tầm quan trọng của định hướng quá trình, điều phổ biến đối với tất cả các hệ thống quản lý dựa trên HS. Các tổ chức phải hiện thực hóa các quy trình như một phần của kế hoạch hoạt động và kiểm soát để thực hiện các biện pháp quản lý rủi ro an toàn thông tin. Điểm mới là tiêu chí quy trình phải được xác định. Việc kiểm soát quá trình phải được thực hiện phù hợp với các tiêu chí này.

Hơn nữa, một số giải thích và thông số kỹ thuật nhỏ đã được thay đổi trong các điều khoản sau:

• Điều 5.3 được bổ sung thêm yêu cầu rõ ràng rằng trách nhiệm và quyền hạn đối với các vị trí liên quan đến an toàn thông tin phải được công bố trong tổ chức.
• Điều 7.4 quy định nhu cầu liên lạc nội bộ và bên ngoài liên quan đến ISMS. Bên cạnh các điều khoản đang được áp dụng về những gì, khi nào và với ai, giao tiếp như thế nào là một sự đơn giản hóa khả thi so với các yêu cầu trước đây.
• Điều  9.2 Đánh giá nội bộ và 9.3 Rà soát của Ban Giám đốc đã được điều chỉnh cho phù hợp với Cấu trúc hài hòa. Điều khoản 9.2 hiện nay được chia thành 9.2.1 và 9.2.2, Điều khoản 9.3 được chia thành ba phần 9.3.1, 9.3.2 và 9.3.3.
• Thứ tự cấu trúc Điều 10.1 và Điều 10.2 đã được điều chỉnh cho phù hợp với Cấu trúc Hài hòa. Khía cạnh của cải tiến liên tục trong tương lai hiện có trước việc xử lý hồi cứu sự không phù hợp và các hành động khắc phục trong Khoản 10.2 trong Điều 10.1 mà không có bất kỳ thay đổi nào khác về nội dung. Sự điều chỉnh này nhấn mạnh tầm quan trọng của quy trình cải tiến liên tục (CIP).

Các yêu cầu chính và rõ ràng trong ISO / IEC 27001 tham chiếu đến bộ kiểm soát trong Phụ lục A, theo Điều 6.1.3 c, là quá trình so sánh giữa các biện pháp kiểm soát an toàn thông tin của tổ chức cụ thể với các kiểm soát trong Phụ lục A và theo Điều khoản 6.1.3 d, việc chuẩn bị Tuyên bố về khả năng áp dụng (SoA). Những yêu cầu cốt lõi này vẫn không thay đổi!

Các giải thích trong các ghi chú cung cấp thông tin (không mang tính quy chuẩn) cho Điều 6.1.3 c) có tham chiếu đến Phụ lục A như một danh sách các biện pháp kiểm soát an toàn thông tin có thể có cho thấy khả năng lựa chọn các biện pháp bổ sung từ các nguồn bổ sung cho Phụ lục A.

Phụ lục A mới của ISO/IEC 27001:2022

Danh sách các biện pháp kiểm soát an toàn thông tin (IS) có thể có trong Phụ lục A của ISO / IEC 27001: 2022 được sao chép y hệt từ ISO / IEC 27002: 2022. Danh mục các biện pháp kiểm soát an ninh chung đã được xuất bản vào tháng 2 năm 2022. Do đó, những thay đổi đối với Phụ lục A của ISO/IEC 27001:2022 đã được dự đoán trước một thời gian. Trước đây, Phụ lục A bao gồm tổng số 114 biện pháp kiểm soát có thể được sử dụng để giải quyết các rủi ro an toàn thông tin theo 35 mục tiêu kiểm soát được tổ chức thành 14 điều khoản.

Mặc dù ISO/IEC 27001:2022 mới loại bỏ các mục tiêu kiểm soát, các biện pháp kiểm soát an toàn thông tin trong Phụ lục A đã được sửa đổi, cập nhật, bổ sung và tổ chức lại với một số biện pháp kiểm soát mới.

14 điều khoản trước đây của Phụ lục A hiện tập trung vào 4 chủ đề sau:

A.5 Kiểm soát tổ chức (với 37 kiểm soát).

A.6 Kiểm soát cá nhân (với 8 kiểm soát)

A.7 Kiểm soát vật lý (với 14 kiểm soát)

A.8 Kiểm soát kỹ thuật (với 34 kiểm soát)

Phụ lục A của phiên bản ISO / IEC 27001: 2022 mới hiện bao gồm tổng số 93 biện pháp kiểm soát, trong đó 11 biện pháp kiểm soát mới sau đây:

A.5.7 Thông tin tình báo về mối đe dọa

A.5.23 Bảo mật thông tin cho việc sử dụng các dịch vụ đám mây

A.5.30 Sự sẵn sàng của CNTT-TT cho hoạt động kinh doanh liên tục

A.7.4 Giám sát an ninh vật lý

A.8.9 Quản lý cấu hình

A.8.10 Xóa bỏ thông tin

A.8.11 Mặt nạ dữ liệu

A.8.12 Phòng chống rò rỉ dữ liệu

A.8.16 Giám sát hoạt động

A.8.23 Lọc web

A.8.28 Mã hóa an toàn

Mặc dù Phụ lục A của ISO / IEC 27001: 2022 bị giới hạn trong việc đặt tên cho các biện pháp kiểm soát, hướng dẫn thực hiện ISO / IEC 27002: 2022 cung cấp các tùy chọn khác để phân loại chúng. Ở đó, mỗi kiểm soát được gán năm thuộc tính cho phép các quan điểm và góc nhìn khác nhau về chúng. Các thuộc tính hoặc giá trị thuộc tính của chúng có thể được sử dụng để lọc, sắp xếp hoặc hiển thị cho các chế độ xem tổ chức khác nhau.

Năm thuộc tính là:

1. Loại kiểm soát là một thuộc tính để xem các biện pháp kiểm soát từ góc độ thời điểm và cách thức một biện pháp thay đổi rủi ro liên quan đến sự xuất hiện của một sự cố an toàn thông tin.
2. Thuộc tính bảo mật thông tin là một thuộc tính để xem các biện pháp kiểm soát từ góc độ mục tiêu bảo vệ mà biện pháp này dự định hỗ trợ
3. Khái niệm an ninh mạng xem xét các biện pháp kiểm soát từ góc độ cách chúng liên quan tới khuôn khổ an ninh mạng được mô tả trong ISO/IEC TS 27110.
4. Khả năng vận hành xem xét các biện pháp kiểm soát từ góc độ khả năng bảo mật thông tin vận hành của chúng và hỗ trợ quan điểm người dùng thực tế về các biện pháp.
5. Miền bảo mật là một thuộc tính cho phép các biện pháp kiểm soát được nhìn nhận từ quan điểm của bốn lĩnh vực an toàn thông tin.

Bản cập nhật có ý nghĩa gì đối với chứng nhận của bạn?

ISO/IEC 27001:2022 đã được xuất bản vào ngày 25/10/2022. Điều này dẫn đến khung thời gian và thời hạn chuyển đổi sau cho người dùng tiêu chuẩn:

Hạn cuối cho đánh giá chứng nhận mới / tái cấp theo phiên bản "cũ" ISO 27001:2013

• Sau ngày 30 tháng 04 năm 2024, DQS sẽ chỉ thực hiện đánh giá mới/tái cấp chứng nhận theo tiêu chuẩn mới ISO/IEC 27001:2022

Thời hạn chuyển đổi dành cho tất cả chứng nhận đang có hiệu lực theo phiên bản "cũ" ISO/IEC 27001:2013 sang ISO/IEC 27001:2022

• Thời hạn chuyển đổi là 3 năm bắt đầu từ ngày 31 tháng 10 năm 2022
• Chứng chỉ được cấp theo ISO/IEC 27001:2013 hoặc DIN EN ISO/IEC 27001:2017 có hiệu lực muộn nhất đến 31 tháng 10 năm 2025, hoặc phải được thu hồi vào ngày này.

Phiên bản ISO/IEC 27001:2022 mới - Kết luận

Phiên bản ISO/IEC 27001:2022 mới đã sẵn sàng. Điều này đánh dấu sự khởi đầu của giai đoạn chuyển tiếp kéo dài 3 năm.

Tóm lại, những đổi mới chính là:

• Sự phù hợp của hệ thống quản lý với cơ cấu hài hòa.
• Nhấn mạnh vào định hướng quá trình, các tương tác và tiêu chí của nó.
• Đơn giản hóa và sắp xếp hợp lý việc phân loại các kiểm soát thành các khối chuyên đề.
• Các biện pháp hiện đại phù hợp với các phương pháp tổ chức hiện nay và các mối đe dọa liên quan.
• Các thuộc tính để điều chỉnh các biện pháp kiểm soát với các phương pháp luận quản lý rủi ro khác nhau, bao gồm cả các khuôn khổ an ninh mạng toàn cầu.

Tải xuống miễn phí Tiêu chuẩn ISO 27001:2022 mới tại đây

Niềm tin và chuyên môn

Các văn bản và tài liệu quảng cáo của chúng tôi được viết độc quyền bởi các chuyên gia tiêu chuẩn hoặc các đánh giá viên lâu năm của DQS. Nếu bạn có bất kỳ góp ý nào về nội dung văn bản hoặc các dịch vụ, vui lòng gửi e-mail cho chúng tôi.