Nadchodzą zmiany ISO/IEC 27001:2022

Pojawiło się nowe wydanie najpopularniejszego na świecie standardu związanego z zarządzaniem bezpieczeństwem informacji. Oficjalnie witamy się z ISO/IEC 27001:2022!

Co się zmienia?

Zmian jest bardzo dużo, począwszy od nazwy, która obecnie oddaje rozszerzony zakres standardu:

  • ISO/IEC 27001:2013 – Information technology —Security techniques — Information security management systems — Requirements
  • ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection — Information security management systems — Requirements

Przez terminologię, w której pojawiły się odwołania do bazy terminów/definicji utrzymywanych przez ISO w wersji elektronicznej:

Po zmiany w samych wymaganiach standardu i załączaniu A (zabezpieczeniach).

W części ogólnej normy wprowadzono drobne zmiany w punktach 4.2, 4.4, 6.2, 7.4, 8.1, 9.1, 9.3 oraz dodano nowy punkt 6.3.Jednak największą rewolucję przeszedł załącznik A do standardu. Zawierał on dotychczas 114 zabezpieczeń podzielonych na 14 sekcji (od A.5 do A.18). Natomiast w nowym wydaniu mamy wyłącznie 4 sekcje (organizacyjne, odnoszące się do zasobów ludzkich, fizyczne i technologiczne środki bezpieczeństwa) oraz wyłącznie 93 zabezpieczenia.

Obszary ISO 27001

Chcesz zapoznać się z projektem normy?
Otwórz ISO/IEC 27001:2022 arrow
Czy mniej w tym wypadku znaczy więcej?

W naszej ocenia zdecydowanie tak, ponieważ:

  • 57 zabezpieczeń ze starego standardu zostało połączonych w 24 nowe (bez wpływu na ich merytoryczny zakres).
  • 23 zabezpieczenia zmieniły swoje nazwy, jednak ich przeznaczenie pozostało takie samo jak w poprzedniej wersji standardu.
  • powstało 11 zupełnie nowych zabezpieczeń

11 nowych zabezpieczeń

Nowe zabezpieczenia w zdecydowanej większości odnoszą się do obszaru technologicznego / teleinformatycznego (7 z 11). Dodatkowo fani RODO, z pewnością też wyłapią ukłon w stronę wymagań GDPR 😉.

Do nowych zabezpieczeń należą:

  • 7.4 Monitorowanie bezpieczeństwa fizycznego (Physical security monitoring)
  • 5.7 Rozpoznawanie zagrożeń (Threat intelligence)​
  • 5.23 Bezpieczeństwo informacji przy korzystaniu z usług w chmurze (Information seciurity for use cloud services)
  • 5.30 ICT gotowość do ciągłości działania (ICT readiness for business continuity)
  • 8.9 Zarządzanie konfiguracją (Configuration management)​
  • 8.10 Usuwanie informacji (Information deletion ) ​
  • 8.11 Maskowanie danych (Data masking) ​
  • 8.12 Zapobieganie wyciekom danych (Data leakage prevention) ​
  • 8.16 Monitorowanie aktywności (Monitoring activitis
  • 8.23 Filtrowanie stron internetowych (Web filtering) ​
  • 8.28 Bezpieczne kodowanie (Secure coding)

Jeśli posiadasz wdrożony w swojej organizacji Standard ISO 27001, przed tobą w przeciągu najbliższych 2 lat:

  • Przegląd i aktualizacja dokumentacji SZBI, ze względu na konieczność jej dostosowania do nowej struktury i numeracji zabezpieczeń, w tym w szczególności:
    • Deklaracji Stosowania (SoA)
    • Raportu z Przeglądu Zarządzania
    • Celów SZBI
    • Procedury monitorowania, pomiarów i oceny skuteczności SZBI
  • Przeprowadzenie procesu analizy ryzyka w celu doboru właściwego sposobu wdrożenia nowych zabezpieczeń.
  • Ocena konieczności wdrożenia technicznych rozwiązań adresujących nowe zabezpieczenia (SIEM, EDR, DLP).
  • Przeprowadzenie szkoleń dla pracowników

Na przełomie roku 2022 i 2023 jako Blue Energy planujemy 2 wydarzenie z cyklu „Nadchodzą zmiany ISO/IEC 27001:2022”, na którym w szczegółach omówimy co w normie się zmieniło. Wydarzenie jest darmowe i jeśli chcesz wziąć w nim udział zapisz się już dziś! Wystarcz, że skontaktujesz się z nami przez stronę www lub pocztę e-mail.

Chcesz dowiedzieć się więcej na temat ISO 27001?
Przeczytaj artykuł - Bezpieczeństwo Informacji arrow
Potrzebujesz wsparcia we wdrożeniu lub aktualizacji?
Skontaktuj się z nami arrow

Powiązane artykuły na blogu

13 sty
#Bezpieczeństwo
#IT
#RODO
#Testy
Nie dbasz o bezpieczeństwo informacji to licz się z karą od Prezesa UODO

11 stycznia pojawiła się kolejna informacja o administracyjnej karze pieniężnej w wysokości 45 tys. złotych. Kara ta po raz kolejny związana jest niezastosowaniem przez Administratora odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków.

25 lip
#Bezpieczeństwo
#IT
#RODO
Co z tymi sygnalistami? – pierwsze kary i trzecia odsłona projektu ustawy o ochronie sygnalistów.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, obowiązuje już od 17 grudnia 2021 r. Do dziś jednak (25.07.2022) w polskim porządku prawnym nie pojawiła się doprecyzowująca wymagania Dyrektywy ustawa o ochronie osób zgłaszających naruszenia prawa.

19 kwi
#Bezpieczeństwo
#IT
#RODO
Czy jako Administrator potrafisz dobrać właściwe zabezpieczenia techniczne i organizacyjne niezbędne do zapewnienia zgodności z RODO?

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Prezesa Sądu Rejonowego w Zgierzu. Kara nie jest spektakularna pod względem wysokości (10 000 zł) i została nałożona już w zeszłym roku, ale mimo wszystko warto na nią zwrócić uwagę.

Zobacz więcej artykułów arrow