731 901 601
Czego spodziewać się po aktualizacji normy ISO/IEC 27002 zapowiadanej na 2022 rok?

Czego spodziewać się po aktualizacji normy ISO/IEC 27002 zapowiadanej na 2022 rok?

Norma ISO/IEC 27002 to opublikowany w 2007 roku, międzynarodowy standard dotyczący zarządzania bezpieczeństwem informacji w organizacjach. Stanowi rozwinięcie normy ISO/IEC 27001. Zawiera wytyczne dotyczące mechanizmów kontroli bezpieczeństwa opisanych w ISO/IEC 27001. Szczegółowo wyjaśnia ich cele, zasady działania i sposoby wdrożenia, a także utrzymania (monitorowania, doskonalenia). Bierze przy tym pod uwagę obszary, w których w organizacjach może wystąpić ryzyko bezpieczeństwa informacji.

Wszystkie normy ISO podlegają okresowym przeglądom i są nieustannie modyfikowane tak, by pozostawały adekwatne do dynamicznie zmieniającej się rzeczywistości. Bez wątpienia najbardziej rozwojową jest branża technologii cyfrowych. Tam też obecnie należy spodziewać się największej liczby zagrożeń. Dlatego norma ISO/IEC 27002, której ostatnia aktualizacja miała miejsce blisko dekadę temu (w 2013 roku), wymagała już aktualizacji. Jej zapowiadane od dłuższego czasu nowe wydanie najprawdopodobniej ukaże się w lutym 2022 roku.

Norma ISO/IEC 27002:2022 anuluje i zastępuje wydanie z 2013 roku. Uwzględnia sprostowania techniczne, które wprowadzono w latach 2014 (ISO/IEC 27002:2013/COR 1:2014) i 2015 (ISO/IEC 27002:2013/COR 2:2015). Zmiany w ISO/IEC 27002 mają służyć przede wszystkim uproszczeniu wdrożenia standardu.

W nowej wersji ISO/IEC 27002 zrezygnowano z tytułu „Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji” (Information technology – Security techniques – Code of practice for information security controls) na rzecz „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności – Środki bezpieczeństwa informacji” (Information security, cybersecurity and privacy protection – Information security controls). Zmiana ta uwzględnia różnicę pomiędzy bezpieczeństwem informacji a bezpieczeństwem cybernetycznym, a także wskazuje na potrzebę ochrony prywatności. Określenie „Praktyczne zasady” usunięto, by tytuł normy lepiej odzwierciedlał fakt, że jest ona referencyjnym zestawem środków bezpieczeństwa, a nie zbiorem zasad, które bezwzględnie należy wdrożyć.

Struktura zaktualizowanej normy ISO/IEC 27002 pozostaje zbieżna ze strukturą innych standardów ISO/IEC. Została ona jednak uproszczona w stosunku do wersji ISO/IEC 27002:2013, aby mogła lepiej spełniać swoją rolę wygodnego w zastosowaniu narzędzia. Wprowadzono uproszczoną nomenklaturę, a opisane środki bezpieczeństwa sklasyfikowano i opisano tak, by nie duplikować informacji zawartych w treści dokumentu. Z tego powodu liczba rekomendowanych środków bezpieczeństwa zmniejszyła się z 114 (opisanych w ISO/IEC 27002:2013) do 93. Nie oznacza to, że 21 usunięto. Część z nich została przeformułowana i skonsolidowana z innymi. Dodano 11 nowych, a zrezygnowano tylko z 1. Nowo opisane środki bezpieczeństwa dotyczą przede wszystkim bezpieczeństwa danych w chmurze i ochrony prywatności.

Dotychczasowych 14 rozdziałów normy ISO/IEC 27002 zastąpiono 4, które dotyczą następujących obszarów:

  • bezpieczeństwa organizacyjnego,
  • bezpieczeństwa zasobów ludzkich,
  • bezpieczeństwa technologicznego,
  • bezpieczeństwa fizycznego.

Wskazanie, które z środków bezpieczeństwa są pomocne w określonych obszarach ryzyka, ułatwia wykorzystanie ISO/IEC 27002:2022 w praktyce. Temu samemu celowi służy przypisanie do poszczególnych środków bezpieczeństwa atrybutów (pojęcie atrybutu także jest w treści normy ISO/IEC 27002 nowością), takich jak:

  • rodzaje kontroli,
  • właściwości ochrony danych,
  • pojęcia cyberbezpieczeństwa,
  • możliwości operacyjne,
  • domeny ochrony.

Rekomendowane mechanizmy działania podzielono na kategorie również w zakresie każdego atrybutu. Taka klasyfikacja pozwala na szybki wybór środków bezpieczeństwa adekwatnych do standardów danej branży. Reasumując, aktualizacja normy ISO/IEC 27002 nie wniesie wielu zmian merytorycznych, ale znacząco zmieni się struktura dokumentu. Ma to dopomóc organizacjom w sprawnym wdrożeniu środków bezpieczeństwa zgodnych z najlepszymi, uznawanymi na całym świecie praktykami.

Czytaj inne wpisy

Nowe wydanie normy BRC Food – wersja 9

Nowe wydanie normy BRC Food – wersja 9

BRC Food wersja 9. Nowe wydanie normy – jak spełnić jej wymagania? Od kiedy można się certyfikować? Zapraszamy do lektury. czytaj więcej
Audyty systemów ISO – czym są, na czym polegają i czemu służą?

Audyty systemów ISO – czym są, na czym polegają i czemu służą?

Poszukujesz sposobu na doskonalenie swojej firmy i wyróżnienie się na tle podobnych organizacji? W dzisiejszych czasach, gdy rynek jest bardzo konkurencyjny a oczekiwania konsumentów – wysokie, jednym z najlepszych i najbardziej skutecznych sposobów na budowanie silnej pozycji w branży jest wdrażanie standardów rekomendowanych przez Międzynarodową Organizację Normalizacyjną. czytaj więcej
Standard TISAX - jak zbudować wiarygodność firmy działającej w branży motoryzacyjnej?

Standard TISAX - jak zbudować wiarygodność firmy działającej w branży motoryzacyjnej?

Prowadzisz firmę motoryzacyjną lub świadczysz usługi dla branży automotive? Z pewnością wciąż szukasz sposobów, by poszerzysz bazę swoich krajowych klientów, a może nawet wkroczyć na światowe rynki. Wiesz także, że działasz w niezwykle konkurencyjnym sektorze. By przykuć uwagę potencjalnych kontrahentów, nie wystarczy zaproponować im wysokiej klasy produktu. czytaj więcej
Więcej wpisów