С преразглеждането на ISO 27002:2022 е предоставен референтен набор от контролни механизми за информационна сигурност, които да се използват въз основа на управлението на риска за информационната сигурност, като целта е да се подобрят другите стандарти от фамилията 27000.
Постоянно нарастващата среда на заплахи, уязвимостите в сигурността и бързото развитие на цифровите технологии изглежда отговарят на липсващите нужди с актуализацията на ISO 27002:2022.
Какво е новото в ISO 27002:2022?
ISO 27002:2013 е разделен на 14 клаузи и съдържа 114 контроли. Той е преструктуриран, версия 2022 включва 93 контроли, разделени в 4 раздела:
5. Организационни (37 контроли)
6. Хора (8 контроли)
7. Физически (14 контроли)
8. Технологични (34 контроли)
Отговори на основните ви въпроси
1 – Каква е разликата между ISO 27001 и ISO 27002?
ISO 27001 е основният стандарт и компаниите могат да се сертифицират; компаниите не могат да получат сертификат ISO 27002:2022, тъй като той е само помощен стандарт.
В приложение А към ISO 27001 е представен само списък на контролите за сигурност, но не е обяснено как те могат да бъдат приложени; в ISO 27002 са изброени същите контроли и са дадени насоки за това как да бъдат приложени. Това ръководство в ISO 27002 обаче не е задължително, което означава, че компаниите могат да решат дали да ги използват.
2 – Кога ще се случат тези промени?
ISO 27002 беше актуализиран на 15 февруари 2022 г. и приложение А към ISO 27001 ще бъде приведено в съответствие с тези промени.
Актуализациите на приложение А към ISO 27001 ще бъдат направени през 2022 г., като датата все още не е обявена.
3 – Искаме да започнем да прилагаме ISO 27001, трябва ли да изчакаме публикуването на промените или да започнем сега?
Ако вашият настоящ или потенциален клиент ви чака да се сертифицирате, трябва да започнете възможно най-скоро; Ако можете да изчакате до края на 2022 г. с проекта си, можете да изчакате актуализирания стандарт.
С други думи, това решение няма нищо общо със стандартите – то зависи от това колко бързо се нуждаете от сертификат ISO 27001.
4- Ако сега започнем прилагането на ISO 27001, ще продължим ли с новите или със старите набори от контролни елементи?
Трябва да започнете със съществуващите контроли, тъй като промените в ISO 27001 все още не са публикувани.
Преминаването към новата ревизия на стандарта ще бъде незначително усилие, тъй като промените в контролите са умерени и ще имате достатъчно време да актуализирате документацията за новите контроли.
5 – Вече сме внедрили ISO 27001, какво трябва да променим в нашата документация?
Промените в стандартите са свързани най-вече с реорганизацията на контролите, така че няма да са необходими промени в технологичните раздели, а само промени в документацията.
Тъй като промените са умерени, нашата препоръка е да не добавяте нови документи и да не изтривате съществуващи документи.
6- Кога трябва да променим документите си?
Преходният период за тези промени все още не е обявен, но вероятно ще бъде 24 месеца от официалната дата на актуализация на ISO 27001:2022.
Затова ще имате достатъчно време да се съобразите с тях.
7 – Необходимо ли е сертифициращият орган да проверява за промени в документите?
Да, ако компанията ви е сертифицирана, сертифициращият орган ще провери дали сте адаптирали документите си по време на преходния период.
Тъй като те ще направят това по време на редовните надзорни одити, няма да е необходимо да се планира нов одит.
Въздействие върху съответните стандарти ISO 27000
Съществуват много стандарти и рамки, свързани с ISO 27002:2013 или основани на него. Замяната на стандарта с нова версия определено ще ги засегне.
На първо място, очаква се ISO 27001 да бъде актуализиран малко след като ISO 27002:2022 бъде финализиран и публикуван. Според сегашното разбиране актуализацията на ISO 27001 ще се ограничи до незначителни промени в текста и пълна ревизия на приложение А в съответствие с актуализацията на ISO 27002.
Очаква се тя да бъде актуализирана в общи стандарти като ISO 27701, ISO 27017 и ISO 27018.
Въпреки че цялостната структура на стандарта е подобна на други стандарти, е направена съществена промяна в начина на структуриране на разделите за контрол. ISO 27002:2013, който се състои от 14 клаузи, ще бъде заменен с 4 клаузи, както е показано в следващото сравнение.
Какво трябва да направим?
Първо, имайте предвид, че при нормални обстоятелства публикуването на нов стандарт, който трябва да бъде утвърден, ще бъде преходен период. Обикновено преходният период е 24 месеца в зависимост от това, в коя фаза на настоящия сертификационен цикъл се намира сертификацията.
Можете да започнете подготовката, като закупите публикуваната версия на ISO 27002:2022.
Какво можете да направите на този етап?
Въпреки че не се ограничавате само до списъка по-долу, това може да са първите неща, които можете да направите;
– Закупете актуализирания стандарт,
– Сравняване на новия и стария стандарт,
– Извършване на анализ на риска и проверка на GAP анализа,
– Изберете приложимите контроли и задайте политиките, стандартите и актуализациите на вашата ISMS.
– Актуализирайте декларацията си за приложимост,
– Актуализирайте програмата си за вътрешен одит, за да включите избрани актуализирани контроли …. и т.н.
–
Публикация от CFE