787 974 136
25 października 2022 roku opublikowana została długo oczekiwana aktualizacja ISO 27001 – międzynarodowej normy standaryzującej systemy zarządzania bezpieczeństwem informacji. Normy ISO nowelizowane są co kilka lat, dzięki czemu mogą odpowiadać dynamicznie zmieniającej się rzeczywistości i potrzebom funkcjonujących w niej organizacji. Aktualizacja ISO 27001 była szczególnie ważna, ponieważ jest ściśle powiązana z wyjątkowo rozwojową branżą, jaką stanowią technologie cyfrowe. Obecnie to one wykorzystywane są najczęściej do ochrony informacji, a ich szybka ewolucja sprawia, że nieustannie stajemy przed nowymi wyzwaniami w zakresie bezpieczeństwa. Co zmieniło się w ISO/IEC 27001:2022 względem wydania z 2013 roku? Jak zaktualizować swój system zarządzania bezpieczeństwem informacji?.
Norma ISO 27001 pozwala stworzyć skuteczny system zarządzania bezpieczeństwem informacji (SZBI) – chronić takie aktywy, jak know-how, dane klientów, treści umów z kontrahentami, projekty nowych przedsięwzięć itd. ISO 27001 służy uszczelnieniu firmy fizycznie, ale przede wszystkim od strony teleinformatycznej. SZBI znacząco usprawnia organizację pracy i zwiększa efektywność przedsiębiorstwa. Certyfikacja ISO 27001:2022 ułatwia zaś utrzymanie SZBI w dobrej kondycji, a zarazem stanowi ważną legitymację w relacjach biznesowych – zwiększa wiarygodność firmy i jej konkurencyjną przewagę na rynku.
ISO/IEC 27001:2022 zawiera listę wymogów, jakim trzeba sprostać, by ustanowić zgodny z międzynarodowymi standardami SZBI. Służą też one jego sprawnej eksploatacji, monitorowaniu i doskonaleniu. Wymagania normy ISO 27001 mają charakter ogólny, co pozwala zastosować je do każdej organizacji. Merytorycznym rozwinięciem standardu jest norma ISO 27002:2022, tożsama z załącznikiem A do ISO/IEC 27001:2022. Zawiera ona praktyczne zasady zabezpieczania informacji. Wytyczne te pozwalają dostosować ISO 27001 do specyficznego kontekstu danej organizacji.
W lutym 2022 roku Międzynarodowa Organizacja Normalizacyjna znowelizowała normę ISO 27002, co spowodowało konieczność aktualizacji ISO 27001, aby te ściśle powiązane ze sobą standardy pozostały spójne. Dlatego zmiany w ISO/IEC 27001:2022 w stosunku do wersji z 2013 roku dotyczą głównie załącznika A.
Zasadnicza treść ISO 27001:2022 zmieniła się tylko nieznacznie w stosunku do poprzedniczki. Inne brzmienie zyskał tytuł normy – zwroty „Technika informatyczna – Techniki bezpieczeństwa” zastąpiono sformułowaniem „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności”, co sugeruje większe skupienie na wymienionych kwestiach. Drobne modyfikacje przeszły także klauzule od 4 do 10 – w kilku miejscach dodano nową treść. Ponadto wprowadzono nieco zmian w terminologii, a konkretnie uproszczono dotychczasową nomenklaturę. Te różnice pomiędzy wydaniem z 2013 a ISO 27001:2022 nie mają jednak większego wpływu na funkcjonowanie SZBI.
Istotne zmiany dotyczą załącznika A standardu ISO/IEC 27001:2022. Restrukturyzacji i rozszerzeniu uległa lista omawianych w nim zabezpieczeń. Zamiast 114 jest ich obecnie 93, co nie oznacza, że część z nich usunięto. Przeciwnie – dodano 11 nowych (dotyczących głównie bezpieczeństwa danych w chmurze i ochrony prywatności), takich jak:
Ogólna liczna zabezpieczeń uległa zmniejszeniu, ponieważ niektóre zostały połączone z innymi. Część z nich poprawiono. Wszystkie zabezpieczenia podzielone zostały na cztery grupy:
Zmiany w strukturze załącznika A ISO 27001:2022 mają ułatwić organizacjom wdrożenie i sprawne korzystanie z środków bezpieczeństwa informacji, a ich aktualizacja odpowiada obecnym wymogom prawnym (np. dotyczącym RODO) oraz zmianom, jakie przez ostatnie lata zaszły w obszarze technologii IT.
Choć zmiany w ISO/IEC 27001:2022 dotyczą głównie nomenklatury i struktury dokumentu, w praktyce mogą wpływać na procedury działania w zakresie zabezpieczania informacji oraz postępowania w sytuacjach kryzysowych. Dlatego swój SZBI musi zweryfikować każda firma, która obecnie posiada certyfikat ISO 27001:2013.
Jak w przypadku każdej nowelizacji norm ISO organizacje mają trzy lata (do 31 października 2025 roku) na dostosowanie swoich systemów zarządzania do nowych wytycznych. Certyfikację ISO 27001 i tak należy co trzy lata powtarzać, więc nie ma potrzeby wcześniejszej wymiany dokumentu na certyfikat ISO 27001:2022. Warto jednak już teraz zaktualizować SZBI, by nieprzerwanie odwoływać się w swojej działalności do najlepszych spośród stosowanych na świecie praktyk w zakresie ochrony informacji, a przy okazji dobrze przygotować się do najbliższego audytu ISO 27001:2022.
Osoby odpowiedzialne za utrzymanie SZBI w danej organizacji powinny zapoznać się z nową strukturą i rozbudowaną listą zabezpieczeń ujętych w nowelizacji ISO 27001, a następnie zidentyfikować ewentualne luki w dotychczasowym systemie. Analiza ta pokaże, na ile nowe elementy normy mogą być pomocne w zarządzaniu bezpieczeństwem informacji w danej organizacji. Zmiany w zabezpieczeniach ujęte w załączniku A muszą znaleźć odzwierciedlenie w dokumentacji SZBI. W większości przypadków będzie to oznaczało dodanie opisu nowych procedur do już istniejących.
Jeśli chodzi o wdrożenie normy 27001 w organizacjach, które dotąd nie korzystały z jej wytycznych, mogą one już teraz opracowywać swój SZBI pod kątem certyfikacyjnego audytu ISO 27001:2022 jednostki certyfikującej i ubiegać się o certyfikat ISO 27001:2022.
DJB DORADZTWO
Marcin Chorąży
