ISO 27002:2022 revizyonu ilə informasiya təhlükəsizliyi riskinin idarə edilməsi əsasında istifadə ediləcək informasiya təhlükəsizliyinə nəzarət vasitələri üçün istinad dəsti təmin edilmişdir və digər 27000 ailə standartlarını təkmilləşdirməyi hədəfləyir.
Daim böyüyən təhlükə mühiti, təhlükəsizlik zəiflikləri və rəqəmsal texnologiyanın sürətli inkişafı ISO 27002:2022 yeniləməsi ilə çatışmayan ehtiyacları qarşılayır.
ISO 27002:2022-də nə yenilik var?
ISO 27002:2013 14 bəndə bölünmüş və 114 nəzarəti ehtiva etmişdir. Bu yenidən strukturlaşdırılmışdır, 2022-ci versiya 4 bölməyə bölünmüş 93 nəzarəti ehtiva edir:
5. Təşkilati (37 nəzarət)
6. İnsanlar (8 nəzarət)
7. Fiziki (14 nəzarət)
8. Texnoloji (34 nəzarət)
Vacib Suallarınıza Cavablar
1 – ISO 27001 ilə ISO 27002 arasındakı fərq nədir?
ISO 27001 əsas standartdır və şirkətlər sertifikat verə bilər; Şirkətlər ISO 27002:2022 sertifikatını ala bilmirlər, çünki bu, yalnız dəstəkləyici standartdır.
Əlavə A-da ISO 27001 yalnız təhlükəsizlik nəzarətlərinin siyahısını təqdim edir, lakin onların necə həyata keçirilə biləcəyini izah etmir; ISO 27002 eyni nəzarət vasitələrini sadalayır və onların həyata keçirilməsinə dair təlimat verir. Bununla belə, ISO 27002-dəki bu təlimat məcburi deyil, yəni şirkətlər onlardan istifadə edib-etməmək barədə qərar verə bilər.
2 – Bu dəyişikliklər nə vaxt baş verəcək?
ISO 27002 15 fevral 2022-ci ildə yeniləndi və ISO 27001 Əlavə A bu dəyişikliklərə uyğunlaşdırılacaq.
ISO 27001 Əlavə A-da yeniləmələr 2022-ci ildə olacaq, tarix hələ açıqlanmayıb.
3 – Biz ISO 27001 tətbiqinə başlamaq istəyirik, dəyişikliklər dərc olunana qədər gözləməliyik, yoxsa indi başlamalıyıq?
Əgər hazırkı və ya potensial müştəriniz sertifikat almanızı gözləyirsə, mümkün qədər tez başlamalısınız; Layihənizlə 2022-ci ilin sonuna qədər gözləyə bilsəniz, yenilənmiş standartı gözləyə bilərsiniz.
Başqa sözlə, bu qərarın standartlarla heç bir əlaqəsi yoxdur – bu, ISO 27001 sertifikatına nə qədər tez ehtiyacınızdan asılıdır.
4- İndi ISO 27001 tətbiqi ilə başlasaq, yeni idarəetmə dəstləri ilə davam edəcəyik, yoxsa köhnələri?
ISO 27001-ə edilən dəyişikliklər hələ dərc olunmadığından, mövcud nəzarətlərdən başlamalısınız.
Standartın yeni reviziyasına keçid kiçik səy göstərəcək, çünki idarəetmələrə edilən dəyişikliklər yalnız orta səviyyədədir və yeni nəzarətlər üçün sənədləri yeniləmək üçün çox vaxtınız olacaq.
5- Biz artıq ISO 27001 tətbiq etmişik, sənədlərimizdə nəyi dəyişmək lazımdır?
Standartlardakı dəyişikliklər əsasən nəzarətin yenidən təşkili ilə bağlıdır, ona görə də texnologiya bölməsində heç bir dəyişiklik tələb olunmayacaq, yalnız sənədlərdə dəyişikliklər edilməlidir.
Dəyişikliklər orta səviyyədə olduğundan, tövsiyəmiz odur ki, yeni sənədlər əlavə etməyin və ya mövcud sənədləri silməyin.
6- Sənədlərimizi nə vaxt dəyişdirməliyik?
Bu dəyişikliklər üçün keçid dövrü hələ açıqlanmayıb, lakin ehtimal ki, rəsmi ISO 27001:2022 yeniləmə tarixindən etibarən 24 ay olacaq.
Buna görə də, riayət etmək üçün çox vaxtınız olacaq.
7 – Sertifikatlaşdırma orqanının sənədlərdə dəyişiklikləri yoxlamağa ehtiyacı varmı?
Bəli, əgər şirkətiniz sertifikatlaşdırılıbsa, sertifikatlaşdırma orqanı keçid dövründə sənədlərinizi uyğunlaşdırıb-uyğunlaşdırmadığınızı yoxlayacaq.
Onlar bunu müntəzəm nəzarət auditləri zamanı edəcəkləri üçün yeni audit planlaşdırmağa ehtiyac qalmayacaq.
Müvafiq ISO 27000 standartlarına təsir
ISO 27002:2013 ilə əlaqəli və ya ona əsaslanan bir çox standart və çərçivə var. Standartın yeni versiya ilə dəyişdirilməsi onlara mütləq təsir edəcək.
Hər şeydən əvvəl, ISO 27001-in ISO 27002:2022 yekunlaşdırıldıqdan və dərc edildikdən qısa müddət sonra yenilənməsi gözlənilir. Mövcud anlayışa görə, ISO 27001 yeniləməsi kiçik mətn dəyişiklikləri və ISO 27002 yeniləməsinə uyğun olaraq Əlavə A-nın tam yenidən nəzərdən keçirilməsi ilə məhdudlaşacaq.
Onun ISO 27701, ISO 27017 və ISO 27018 kimi ümumi standartlarda yenilənməsi gözlənilir.
Standartın ümumi strukturu digər standartlara bənzəsə də, nəzarət bölmələrinin strukturlaşdırılmasında əsaslı dəyişiklik edilmişdir. 14 bənddən ibarət olan ISO 27002:2013 növbəti müqayisədə göstərildiyi kimi 4 bəndlə əvəz olunacaq.
Nə etməliyik?
Birincisi, unutmayın ki, normal şəraitdə təsdiq ediləcək yeni standartın nəşri keçid dövrü olacaq. Normalda keçid dövrü sertifikatlaşdırmanın cari sertifikatlaşdırma dövründə olduğu yerdən asılı olaraq 24 ay olacaq.
ISO 27002:2022-nin dərc edilmiş versiyasını almaqla hazırlaşmağa başlaya bilərsiniz.
Bu mərhələdə nə edə bilərsiniz?
Aşağıdakı siyahı ilə məhdudlaşmasa da, edə biləcəyiniz ilk işlər bunlar ola bilər;
• Yenilənmiş standartı satın alın,
• Yeni standart və köhnə standartın müqayisəsi,
• Risk təhlilinin aparılması və GAP analizinin yoxlanılması,
• Müvafiq nəzarətləri seçin və ISMS siyasətlərinizi, standartlarınızı və yeniləmələrinizi təyin edin.
• Uyğunluq Bəyannaməsini yeniləyin,
• Seçilmiş yenilənmiş nəzarətləri daxil etmək üçün daxili audit proqramınızı yeniləyin…. və s.
—
CFE -dən yazı