Standardi ISO 27002:2022 läbivaatamisega on esitatud viitekogum infoturbe riskijuhtimisele tuginevate infoturbe kontrollide kohta, mille eesmärk on parandada teisi 27000 perekonna standardeid.
Pidevalt kasvav ohukeskkond, turvaaugud ja digitaaltehnoloogia kiire kasv näivad ISO 27002:2022 ajakohastamisega rahuldavat puuduvaid vajadusi.
Mis on uus ISO 27002:2022-s?
ISO 27002:2013 oli jagatud 14 punktiks ja sisaldas 114 kontrolli. See on ümberstruktureeritud, versioon 2022 sisaldab 93 kontrolli, mis on jagatud 4 ossa:
5. Organisatsiooniline (37 kontrolli)
6. Inimesed (8 kontrolli)
7. Füüsiline (14 kontrolli)
8. Tehnoloogiline (34 kontrolli)
Vastused teie olulistele küsimustele
1 – Mis vahe on ISO 27001 ja ISO 27002 vahel?
ISO 27001 on põhistandard ja ettevõtted saavad seda sertifitseerida; ettevõtted ei saa ISO 27002:2022 sertifikaati, kuna see on ainult tugistandard.
ISO 27001 esitab A lisas ainult turvakontrollide loetelu, kuid ei selgita, kuidas neid rakendada; ISO 27002 loetleb samad kontrollid ja annab juhiseid nende rakendamiseks. See ISO 27002 juhis ei ole siiski kohustuslik, mis tähendab, et ettevõtted võivad otsustada, kas neid kasutada.
2 – Millal need muutused toimuvad?
ISO 27002 ajakohastati 15. veebruaril 2022 ja ISO 27001 lisa A viiakse nende muudatustega kooskõlla.
ISO 27001 A lisa uuendused toimuvad 2022. aastal, kuupäev on veel välja kuulutamata.
3 – Me tahame alustada ISO 27001 rakendamist, kas peaksime ootama, kuni muudatused avaldatakse, või peaksime alustama kohe?
Kui teie praegune või potentsiaalne klient ootab teie sertifitseerimist, peaksite alustama sellega niipea kui võimalik; kui saate oma projektiga oodata 2022. aasta lõpuni, võite oodata ajakohastatud standardit.
Teisisõnu, see otsus ei ole kuidagi seotud standarditega – see sõltub sellest, kui kiiresti teil on vaja ISO 27001 sertifikaati.
4- Kui me alustame nüüd ISO 27001 rakendamisega, kas me jätkame uute või vanade kontrollkogumite kasutamisega?
Alustada tuleks olemasolevatest kontrollidest, sest ISO 27001 muudatusi ei ole veel avaldatud.
Üleminek standardi uuele versioonile on väike jõupingutus, sest muudatused kontrollides on vaid mõõdukad ja teil on piisavalt aega uute kontrollide dokumentatsiooni ajakohastamiseks.
5 – Me oleme juba rakendanud ISO 27001, mida peame oma dokumentatsioonis muutma?
Muudatused standardites on enamasti seotud kontrollide ümberkorraldamisega, seega ei ole vaja teha muudatusi tehnoloogia osas, vaid ainult muudatusi dokumentatsioonis.
Kuna muudatused on mõõdukad, soovitame teil mitte lisada uusi dokumente ega kustutada olemasolevaid dokumente.
6- Millal me peame oma dokumente muutma?
Nende muudatuste üleminekuperioodi ei ole veel avaldatud, kuid tõenäoliselt on see 24 kuud alates ametlikust ISO 27001:2022 ajakohastamise kuupäevast.
Seega on teil piisavalt aega, et seda täita.
7 – Kas sertifitseerimisasutus peab kontrollima, kas dokumentides on tehtud muudatusi?
Jah, kui teie ettevõte on sertifitseeritud, kontrollib sertifitseerimisasutus, kas olete oma dokumente üleminekuperioodi jooksul kohandanud.
Kuna nad teevad seda korrapäraste järelevalveauditite käigus, ei ole vaja uut auditit planeerida.
Mõju asjakohastele ISO 27000 standarditele
ISO 27002:2013-ga seotud või sellel põhinevaid standardeid ja raamistikke on palju. Standardi asendamine uue versiooniga mõjutab neid kindlasti.
Kõigepealt on oodata, et ISO 27001 saab ajakohastatud varsti pärast ISO 27002:2022 valmimist ja avaldamist. Praeguse arusaama kohaselt piirdub ISO 27001 ajakohastamine väiksemate tekstimuudatustega ja A lisa täieliku läbivaatamisega kooskõlas ISO 27002 ajakohastamisega.
Eeldatakse, et seda ajakohastatakse üldistes standardites, nagu ISO 27701, ISO 27017 ja ISO 27018.
Kuigi standardi üldine ülesehitus on sarnane teiste standarditega, on tehtud oluline muudatus kontrollilõikude ülesehituses. ISO 27002:2013, mis koosneb 14 punktist, asendatakse 4 punktiga, nagu on näidatud järgmises võrdluses.
Mida me peaksime tegema?
Esiteks pidage meeles, et tavalistes tingimustes on uue standardi avaldamine, mis tuleb kinnitada, üleminekuperiood. Tavaliselt on üleminekuperiood 24 kuud, sõltuvalt sellest, kus sertifitseerimine on praeguses sertifitseerimistsüklis.
Ettevalmistusi saate alustada ISO 27002:2022 avaldatud versiooni ostmisega.
Mida saab selles etapis teha?
Kuigi need ei piirdu allpool esitatud loeteluga, võivad need olla esimesed asjad, mida saate teha;
– Ostke ajakohastatud standard,
– Võrreldes uut ja vana standardit,
– Riskianalüüsi tegemine ja GAP-analüüsi kontrollimine,
– Valige kohaldatavad kontrollid ja määrake oma ISMS-põhimõtted, standardid ja uuendused.
– Värskendage oma avaldust kohaldatavuse kohta,
– Ajakohastage oma siseauditi programmi, et see hõlmaks valitud ajakohastatud kontrolle …. jne.
–
CFE postitus