ISO 27002:2022-ի վերանայմամբ տրամադրվել է տեղեկատվական անվտանգության վերահսկման տեղեկանք, որը պետք է օգտագործվի տեղեկատվական անվտանգության ռիսկերի կառավարման հիման վրա և նպատակ ունի բարելավել ընտանիքի այլ 27000 ստանդարտները:
Սպառնալիքների անընդհատ աճող միջավայրը, անվտանգության խոցելիությունը և թվային տեխնոլոգիաների արագ աճը կարծես թե բավարարում են բացակայող կարիքները ISO 27002:2022 թարմացման միջոցով:
Ի՞նչ նորություն կա ISO 27002:2022-ում:
ISO 27002:2013-ը բաժանված էր 14 կետի և պարունակում էր 114 վերահսկիչ: Սա վերակազմավորվել է, 2022-րդ տարբերակը ներառում է 93 հսկողություն՝ բաժանված 4 բաժինների.
5. Կազմակերպչական (37 հսկողություն)
6. Մարդիկ (8 հսկիչ)
7. Ֆիզիկական (14 հսկիչ)
8. Տեխնոլոգիական (34 հսկիչ)
Պատասխաններ Ձեր հիմնական հարցերին
1 – Ո՞րն է տարբերությունը ISO 27001-ի և ISO 27002-ի միջև:
ISO 27001-ը հիմնական ստանդարտն է, և ընկերությունները կարող են հավաստագրել. Ընկերությունները չեն կարող ստանալ ISO 27002:2022 սերտիֆիկացում, քանի որ դա միայն օժանդակ ստանդարտ է:
Հավելված Ա-ում ISO 27001-ը տրամադրում է միայն անվտանգության հսկողության ցանկը, բայց չի բացատրում, թե ինչպես կարող են դրանք իրականացվել. ISO 27002-ը թվարկում է նույն վերահսկիչները և ուղղորդում է դրանք իրականացնելու վերաբերյալ: Այնուամենայնիվ, ISO 27002-ի այս ուղեցույցը պարտադիր չէ, ինչը նշանակում է, որ ընկերությունները կարող են որոշել՝ օգտագործել դրանք:
2 – Ե՞րբ են լինելու այդ փոփոխությունները:
ISO 27002-ը թարմացվել է 2022 թվականի փետրվարի 15-ին և ISO 27001-ի Հավելված Ա-ն կհամապատասխանեցվի այս փոփոխություններին:
ISO 27001 Հավելված Ա-ի թարմացումները տեղի կունենան 2022 թվականին, ամսաթիվը դեռ հայտնի չէ:
3 – Մենք ուզում ենք սկսել ISO 27001-ի ներդրումը, սպասե՞նք մինչև փոփոխությունները հրապարակվեն, թե՞ հիմա սկսենք:
Եթե ձեր ներկա կամ պոտենցիալ հաճախորդը սպասում է, որ դուք հավաստագրվեք, դուք պետք է սկսեք որքան հնարավոր է շուտ; Եթե դուք կարող եք սպասել մինչև 2022 թվականի ավարտը ձեր նախագծի հետ, կարող եք սպասել նորացված ստանդարտին:
Այլ կերպ ասած, այս որոշումը որևէ կապ չունի ստանդարտների հետ. դա կախված է նրանից, թե որքան արագ է ձեզ անհրաժեշտ ISO 27001 սերտիֆիկատը:
4- Հիմա, եթե սկսենք ISO 27001 հավելվածից, կշարունակե՞նք նոր կառավարման հավաքածուներով, թե՞ հներով։
Դուք պետք է սկսեք գոյություն ունեցող վերահսկումներից, քանի որ ISO 27001-ի փոփոխությունները դեռ չեն հրապարակվել:
Ստանդարտի նոր վերանայման միգրացիան աննշան ջանք կլինի, քանի որ վերահսկման փոփոխությունները միայն չափավոր են, և դուք բավական ժամանակ կունենաք նոր հսկողության փաստաթղթերը թարմացնելու համար:
5- Մենք արդեն ներդրել ենք ISO 27001, ի՞նչ պետք է փոխենք մեր փաստաթղթերում:
Ստանդարտների փոփոխությունները հիմնականում կապված են հսկողության վերակազմակերպման հետ, ուստի տեխնոլոգիաների բաժնում փոփոխություններ չեն պահանջվի, միայն փաստաթղթերի փոփոխություններ:
Քանի որ փոփոխությունները չափավոր են, մեր խորհուրդն է չավելացնել նոր փաստաթղթեր կամ չջնջել առկա փաստաթղթերը:
6- Ե՞րբ պետք է փոխենք մեր փաստաթղթերը:
Այս փոփոխությունների անցումային շրջանը դեռ չի հրապարակվել, բայց հավանաբար կլինի 24 ամիս ISO 27001:2022-ի պաշտոնական թարմացման օրվանից:
Հետեւաբար, դուք բավական ժամանակ կունենաք համապատասխանելու համար:
7 – Արդյո՞ք սերտիֆիկացման մարմինը պետք է ստուգի փաստաթղթերի փոփոխությունները:
Այո, եթե ձեր ընկերությունը հավաստագրված է, սերտիֆիկացման մարմինը կստուգի, թե արդյոք դուք հարմարեցրել եք ձեր փաստաթղթերը անցումային շրջանում:
Քանի որ նրանք դա կանեն կանոնավոր հսկողության աուդիտների ժամանակ, նոր աուդիտ պլանավորելու կարիք չի լինի:
Ազդեցությունը համապատասխան ISO 27000 ստանդարտների վրա
Կան բազմաթիվ ստանդարտներ և շրջանակներ, որոնք կապված են կամ հիմնված են ISO 27002:2013-ի վրա: Ստանդարտը նոր տարբերակով փոխարինելը անպայման կազդի նրանց վրա։
Նախևառաջ, ISO 27001-ը ակնկալվում է թարմացում ստանալ ISO 27002:2022-ի վերջնականացումից և հրապարակումից անմիջապես հետո: Ընթացիկ պատկերացումների համաձայն, ISO 27001-ի թարմացումը կսահմանափակվի տեքստի փոքր փոփոխություններով և Հավելված Ա-ի ամբողջական վերանայմամբ՝ համաձայն ISO 27002 թարմացման:
Ակնկալվում է, որ այն կթարմացվի ընդհանուր ստանդարտներով, ինչպիսիք են ISO 27701, ISO 27017 և ISO 27018:
Թեև ստանդարտի ընդհանուր կառուցվածքը նման է այլ ստանդարտներին, լուրջ փոփոխություն է կատարվել կառավարման բաժինների կառուցվածքի մեջ: ISO 27002:2013-ը, որը բաղկացած է 14 կետից, կփոխարինվի 4 կետով, ինչպես ցույց է տրված հաջորդ համեմատության մեջ:
ի՞նչ անենք։
Նախ, նկատի ունեցեք, որ նորմալ պայմաններում հաստատվելիք նոր ստանդարտի հրապարակումը անցումային շրջան է լինելու: Սովորաբար անցումային շրջանը կկազմի 24 ամիս՝ կախված նրանից, թե որտեղ է սերտիֆիկացումը ընթացիկ սերտիֆիկացման ցիկլում:
Կարող եք սկսել պատրաստվել՝ գնելով ISO 27002:2022-ի հրապարակված տարբերակը։
Ի՞նչ կարող եք անել այս փուլում:
Թեև չի սահմանափակվում ստորև բերված ցանկով, դրանք կարող են լինել առաջին բաները, որոնք դուք կարող եք անել.
• Գնել նորացված ստանդարտը,
• Համեմատելով նոր և հին ստանդարտները,
• Ռիսկերի վերլուծություն և GAP վերլուծության ստուգում,
• Ընտրեք կիրառելի վերահսկիչները և սահմանեք ձեր ISMS քաղաքականությունները, ստանդարտները և թարմացումները:
• Թարմացրեք Ձեր Կիրառելիության հայտարարությունը,
• Թարմացրեք ձեր ներքին աուդիտի ծրագիրը՝ ներառելու ընտրված թարմացված վերահսկողությունը…: և այլն:
—
Գրառում CFE- ից