Aktuální verze ISO 27001 brzy skončí. Jak upgradovat?

Poslední revize normy ISO 27001 proběhla v roce 2013, je to tedy 9 let od vydání aktualizace, která nese označení ISO/IEC 27001:2013. Na cestě je nová verze ISO/IEC 27001:2022. A v tomto případě nepůjde o kosmetický upgrade. Zde nezůstane kámen na kameni.

Jak se změní systém informační bezpečnosti?

Vydání nové normy ISO/IEC 27001 předchází release ISO/IEC 27002. Ten je naplánován na Q1 2022. Spuštění certifikací podle nové normy ISO/IEC 27001 bude následovat prakticky okamžitě.

Společný technický výbor Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní elektrotechnické komise (IEC) ISO/IEC JTC 1 mění po téměř 20 letech celou strukturu kontrolního rámce ISO/IEC 27001/27002. Půjde tak o zcela nový pohled a požadavky na organizace, i specialisty informační a kybernetické bezpečnosti.

Základní rozdíl mezi ISO/IEC 27001 a ISO/IEC27002

Standard ISO/IEC 27001 klade požadavky, které musí být splněny, aby společnost mohla získat certifikát o shodě od akreditovaného certifikačního orgánu (Conformity Assessment Body – CAB). Norma ISO/IEC 27001 tak dokumentuje požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému řízení bezpečnosti informací.

Norma ISO/IEC 27002 je určena pro všechny organizace, které ji mohou používat jako referenční dokument pro výběr kontrolních mechanismů a poskytuje pokyny pro postupy řízení bezpečnosti informací včetně zavádění a řízení kontrolních mechanismů. Organizace mohou získat certifikát pouze podle norem, které obsahují požadavky, ale nemohou získat certifikát podle norem, které poskytují pokyny.

Změny v ISO/IEC 27001:2022 

Mezi hlavní změny v ISO/IEC 27001:2022 patří: 

• Příloha A odkazuje na kontroly v ISO/IEC 27002:2022, což zahrnuje název kontroly a vlastní kontrolu;
• Poznámka v článku 6.1.3 c) je upravena. Došlo k vypuštění obratu "cílů opatření" a nahrazení obratem "kontroly bezpečnosti informací" 
• Znění článku 6.1.3 d) je upraveno tak, aby bylo jasné a odstraněna možná nejednoznačnost.

Změny v ISO/IEC 27002:2022

Je upraven samotný název normy. Je vypuštěn text „Soubor postupů „ (Code of practice..). Cílem této změny je odrážet zamýšlené použití verze 2022 jako referenčního souboru obecných kontrol a pokynů pro bezpečnost informací.

Úplný název normy bude pravděpodobně „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí — Kontroly bezpečnosti informací. “ (Information security, cybersecurity and privacy protection — Information security controls), který odráží širší kontext a i skutečnost, že prevence, detekce a reakce na kybernetické útoky je nyní považována za ochranu dat.

ISO/IEC 27002:2013 obsahuje 114 kontrol ve 14 oblastech, ISO/IEC 27002:2022 bude obsahovat 93 kontrol ve 4 oblastech: 

• Kapitola 5 - Organizační (pokud nespadají do žádné jiné oblasti) - 37 kontrol 
• Kapitola 6 - Lidé (pokud se týkají jednotlivých lidí) - 8 kontrol 
• Kapitola 7 - Fyzické (pokud se týkají fyzických objektů) - 14 kontrol 
• Kapitola 8 - Technologické (pokud se týkají technologií) - 34 kontrol 

Pro každou kontrolu bude 5 atributů: 

• Jak kategorizovat - preventivní, detektivní (vyšetřovací), nápravné 
• Vlastnosti bezpečnosti informací - důvěrnost, integrita, dostupnost 
• Koncepty kybernetické bezpečnosti - identifikace, ochrana, detekce, reakce, obnova
• Provozní schopnosti - řízení, správa aktiv, ochrana informací, bezpečnost lidských zdrojů, fyzická bezpečnost, bezpečnost systémů a sítí, bezpečnost aplikací, bezpečná konfigurace, správa identit a přístupu, správa hrozeb a zranitelností, kontinuita, bezpečnost dodavatelských vztahů, shoda s požadavky zákonů a smluv, řízení událostí v oblasti bezpečnosti informací, zajištění bezpečnosti informací 
• Oblasti bezpečnosti - řízení a ekosystém, ochrana, obrana, odolnost

V nové verzi normy ISO/IEC 27002 bude zavedeno dvanáct nových kontrol: 

• Správa identit
• Správa hrozeb
• Bezpečnost informací pro využívání cloudových služeb 
• Připravenost ICT pro zajištění kontinuity provozu 
• Monitorování fyzické bezpečnosti 
• Uživatelská koncová zařízení 
• Správa konfigurace 
• Mazání informací 
• Maskování dat 
• Prevence úniku dat 
• Filtrování webu 
• Bezpečné kódování

Šestnáct kontrol bylo odstraněno z důvodu duplicity nebo lepšího sladění v rámci jiných kontrol:

• Přezkum zásad pro bezpečnost informací 
• Zásady pro mobilní zařízení 
• Vlastnictví aktiv 
• Nakládání s aktivy 
• Systém správy hesel 
• Prostory pro nakládku a vykládku
• Navracení/likvidace aktiv 
• Zařízení bez obsluhy
• Ochrana logů 
• Omezení instalace softwaru 
• Elektronické zasílání zpráv 
• Zabezpečení aplikačních služeb ve veřejných sítích 
• Ochrana transakcí aplikačních služeb 
• Akceptační testování systému 
• Hlášení slabých míst 
• Kontrola technické shody
  • Zakoupení aktualizované normy.
  • Přezkoumání nové normy ISO 27002 a jejích kontrolních změn.
  • Provést posouzení/analýzu rizik. 
  • Pro zmírnění všech zjištěných rizik vyberte kontrolní mechanismy, které jsou nejvhodnější, a podle toho aktualizujte zásady ISMS, pracovních postupů atd.
  • Aktualizujte prohlášení o aplikovatelnosti (PoA).

Některé kontroly a kontrolní prvky  byly upraveny a integrovány do jedné hlavní kontroly.

Nejčastější otázky a odpovědi před ukončením platnosti ISO/IEC 27001:2013

Lze se nějak přirpavit na novou verzi ISO 27001:2022? Určitě ano, chystáme "Bridge" program pro absolventy stávajících certifikací. V tomto programu se dozví hlavní rozdíly obou norem a best practice pro nastavení opatření.

Mám certifikaci na organizaci dle ISO 27001. Co mne čeká? Při nejbližším dohledovém, nebo re-certifikačním auditu, který nastane v době vydání nové verze budete vedoucím auditorem TAYLLORCOX podrobeni auditu dle nových požadavků.

Plánoval jsem kurz ze sekce ISO 27001, mám je odložit a počkat až bude nová norma? Určitě nikoliv. Náš pohled a odborný názor je takový, že pokud to jen trochu jde, investujte do znalostí již nyní. Aktuální verze tu s kosmetickými změnami je 20let. Přechod na novou normu bude v řadě organizací postupný a z kariérního a business pohledu vidím eobrovský potenciál v upgradování starých směrnic ISO 27001 na novou verzi. K tomu je ale dobré orientovat se v aktuálních pravidlech, ale i v těch nových.