731 901 601
Czego spodziewać się po aktualizacji normy ISO/IEC 27002 zapowiadanej na 2022 rok?

Czego spodziewać się po aktualizacji normy ISO/IEC 27002 zapowiadanej na 2022 rok?

Norma ISO/IEC 27002 to opublikowany w 2007 roku, międzynarodowy standard dotyczący zarządzania bezpieczeństwem informacji w organizacjach. Stanowi rozwinięcie normy ISO/IEC 27001. Zawiera wytyczne dotyczące mechanizmów kontroli bezpieczeństwa opisanych w ISO/IEC 27001. Szczegółowo wyjaśnia ich cele, zasady działania i sposoby wdrożenia, a także utrzymania (monitorowania, doskonalenia). Bierze przy tym pod uwagę obszary, w których w organizacjach może wystąpić ryzyko bezpieczeństwa informacji.

Wszystkie normy ISO podlegają okresowym przeglądom i są nieustannie modyfikowane tak, by pozostawały adekwatne do dynamicznie zmieniającej się rzeczywistości. Bez wątpienia najbardziej rozwojową jest branża technologii cyfrowych. Tam też obecnie należy spodziewać się największej liczby zagrożeń. Dlatego norma ISO/IEC 27002, której ostatnia aktualizacja miała miejsce blisko dekadę temu (w 2013 roku), wymagała już aktualizacji. Jej zapowiadane od dłuższego czasu nowe wydanie najprawdopodobniej ukaże się w lutym 2022 roku.

Norma ISO/IEC 27002:2022 anuluje i zastępuje wydanie z 2013 roku. Uwzględnia sprostowania techniczne, które wprowadzono w latach 2014 (ISO/IEC 27002:2013/COR 1:2014) i 2015 (ISO/IEC 27002:2013/COR 2:2015). Zmiany w ISO/IEC 27002 mają służyć przede wszystkim uproszczeniu wdrożenia standardu.

W nowej wersji ISO/IEC 27002 zrezygnowano z tytułu „Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji” (Information technology – Security techniques – Code of practice for information security controls) na rzecz „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności – Środki bezpieczeństwa informacji” (Information security, cybersecurity and privacy protection – Information security controls). Zmiana ta uwzględnia różnicę pomiędzy bezpieczeństwem informacji a bezpieczeństwem cybernetycznym, a także wskazuje na potrzebę ochrony prywatności. Określenie „Praktyczne zasady” usunięto, by tytuł normy lepiej odzwierciedlał fakt, że jest ona referencyjnym zestawem środków bezpieczeństwa, a nie zbiorem zasad, które bezwzględnie należy wdrożyć.

Struktura zaktualizowanej normy ISO/IEC 27002 pozostaje zbieżna ze strukturą innych standardów ISO/IEC. Została ona jednak uproszczona w stosunku do wersji ISO/IEC 27002:2013, aby mogła lepiej spełniać swoją rolę wygodnego w zastosowaniu narzędzia. Wprowadzono uproszczoną nomenklaturę, a opisane środki bezpieczeństwa sklasyfikowano i opisano tak, by nie duplikować informacji zawartych w treści dokumentu. Z tego powodu liczba rekomendowanych środków bezpieczeństwa zmniejszyła się z 114 (opisanych w ISO/IEC 27002:2013) do 93. Nie oznacza to, że 21 usunięto. Część z nich została przeformułowana i skonsolidowana z innymi. Dodano 11 nowych, a zrezygnowano tylko z 1. Nowo opisane środki bezpieczeństwa dotyczą przede wszystkim bezpieczeństwa danych w chmurze i ochrony prywatności.

Dotychczasowych 14 rozdziałów normy ISO/IEC 27002 zastąpiono 4, które dotyczą następujących obszarów:

  • bezpieczeństwa organizacyjnego,
  • bezpieczeństwa zasobów ludzkich,
  • bezpieczeństwa technologicznego,
  • bezpieczeństwa fizycznego.

Wskazanie, które z środków bezpieczeństwa są pomocne w określonych obszarach ryzyka, ułatwia wykorzystanie ISO/IEC 27002:2022 w praktyce. Temu samemu celowi służy przypisanie do poszczególnych środków bezpieczeństwa atrybutów (pojęcie atrybutu także jest w treści normy ISO/IEC 27002 nowością), takich jak:

  • rodzaje kontroli,
  • właściwości ochrony danych,
  • pojęcia cyberbezpieczeństwa,
  • możliwości operacyjne,
  • domeny ochrony.

Rekomendowane mechanizmy działania podzielono na kategorie również w zakresie każdego atrybutu. Taka klasyfikacja pozwala na szybki wybór środków bezpieczeństwa adekwatnych do standardów danej branży. Reasumując, aktualizacja normy ISO/IEC 27002 nie wniesie wielu zmian merytorycznych, ale znacząco zmieni się struktura dokumentu. Ma to dopomóc organizacjom w sprawnym wdrożeniu środków bezpieczeństwa zgodnych z najlepszymi, uznawanymi na całym świecie praktykami.

Czytaj inne wpisy

Nowe wydanie normy BRC Food – wersja 9

Nowe wydanie normy BRC Food – wersja 9

BRC Food wersja 9. Nowe wydanie normy – jak spełnić jej wymagania? Od kiedy można się certyfikować? Zapraszamy do lektury. czytaj więcej
Czym jest certyfikat ISO 45001 i dlaczego warto się o niego ubiegać?

Czym jest certyfikat ISO 45001 i dlaczego warto się o niego ubiegać?

System ISO 45001:2018 zawiera wskazówki dotyczące kompleksowego, nowoczesnego podejścia do bezpieczeństwa i higieny pracy. czytaj więcej
Dlaczego warto używać drewna z certyfikatem FSC w branży budowlanej?

Dlaczego warto używać drewna z certyfikatem FSC w branży budowlanej?

FSC to międzynarodowa organizacja non-profit, a zarazem system certyfikacji lasów i produktów drzewnych. Inicjatywę określenia standardów gospodarowania zasobami leśnymi podjęto w 1993 roku czytaj więcej
Więcej wpisów