Home » Naujienos » Reikšmingi ISO 27002:2022 pakeitimai

Reikšmingi ISO 27002:2022 pakeitimai

by admin

Persvarstant ISO 27002:2022, pateiktas informacijos saugumo kontrolės priemonių, kurios turi būti naudojamos remiantis informacijos saugumo rizikos valdymu, pavyzdinis rinkinys, kuriuo siekiama patobulinti kitus 27000 šeimos standartus.

Atrodo, kad nuolat auganti grėsmių aplinka, saugumo pažeidžiamumai ir spartus skaitmeninių technologijų augimas atitinka trūkstamus ISO 27002:2022 atnaujinimo poreikius.

Kas naujo ISO 27002:2022?

ISO 27002:2013 buvo suskirstytas į 14 punktų ir apėmė 114 kontrolės priemonių. Ji buvo pertvarkyta, 2022 m. versijoje yra 93 kontrolės priemonės, suskirstytos į 4 skyrius:

5. Organizacinis (37 kontrolės priemonės)

6. Žmonės (8 kontrolės priemonės)

7. Fizinis (14 kontrolinių elementų)

8. Technologinės (34 kontrolės priemonės)

Atsakymai į svarbiausius klausimus

1 – Kuo skiriasi ISO 27001 ir ISO 27002?

ISO 27001 yra pagrindinis standartas, kurį įmonės gali sertifikuoti; įmonės negali gauti sertifikato ISO 27002:2022, nes tai tik pagalbinis standartas.

ISO 27001 A priede pateikiamas tik saugumo kontrolės priemonių sąrašas, tačiau nepaaiškinama, kaip jas įgyvendinti; ISO 27002 standarte išvardijamos tos pačios kontrolės priemonės ir pateikiamos rekomendacijos, kaip jas įgyvendinti. Tačiau šis vadovas ISO 27002 standarte nėra privalomas, t. y. įmonės gali nuspręsti, ar juo naudotis.

2 – Kada šie pokyčiai įvyks?

ISO 27002 buvo atnaujintas 2022 m. vasario 15 d., o ISO 27001 A priedas bus suderintas su šiais pakeitimais.

ISO 27001 A priedas bus atnaujintas 2022 m., data dar nepaskelbta.

3 – Norime pradėti diegti ISO 27001, ar turėtume laukti, kol bus paskelbti pakeitimai, ar pradėti dabar?

Jei jūsų esamas ar potencialus klientas laukia, kol būsite sertifikuoti, turėtumėte pradėti kuo greičiau; jei su savo projektu galite laukti iki 2022 m. pabaigos, galite palaukti atnaujinto standarto.

Kitaip tariant, šis sprendimas nesusijęs su standartais – jis priklauso nuo to, kaip greitai jums reikia ISO 27001 sertifikato.

4 – Jei dabar pradėsime taikyti ISO 27001, ar toliau naudosime naujus ar senus kontrolės rinkinius?

Turėtumėte pradėti nuo esamų kontrolės priemonių, nes ISO 27001 pakeitimai dar nepaskelbti.

Perėjimas prie naujos standarto redakcijos bus nedidelis darbas, nes kontrolės priemonių pakeitimai yra nedideli ir turėsite pakankamai laiko atnaujinti naujų kontrolės priemonių dokumentaciją.

5 – Mes jau įdiegėme ISO 27001, ką turime pakeisti savo dokumentuose?

Standartų pakeitimai daugiausia susiję su kontrolės priemonių pertvarkymu, todėl technologijų skyrių pakeitimų nereikės, tik dokumentų pakeitimus.

Kadangi pakeitimai yra nedideli, rekomenduojame nepridėti naujų dokumentų ir neištrinti esamų.

6 – Kada reikia keisti dokumentus?

Šių pakeitimų pereinamasis laikotarpis dar nepaskelbtas, tačiau greičiausiai jis bus 24 mėnesiai nuo oficialios ISO 27001:2022 atnaujinimo datos.

Todėl turėsite pakankamai laiko laikytis reikalavimų.

7 – Ar sertifikavimo įstaiga turi tikrinti, ar dokumentuose yra pakeitimų?

Taip, jei jūsų įmonė sertifikuota, sertifikavimo įstaiga patikrins, ar pereinamuoju laikotarpiu pritaikėte savo dokumentus.

Kadangi jie tai atliks per reguliarius priežiūros auditus, naujo audito planuoti nereikės.

Poveikis atitinkamiems ISO 27000 standartams

Yra daug standartų ir sistemų, susijusių su ISO 27002:2013 arba juo pagrįstų. Standarto pakeitimas nauja versija neabejotinai turės jiems įtakos.

Pirmiausia tikimasi, kad ISO 27001 bus atnaujintas netrukus po to, kai bus baigtas rengti ir paskelbtas ISO 27002:2022. Dabartiniu supratimu, ISO 27001 atnaujinimas apsiribos nedideliais teksto pakeitimais ir visiška A priedo peržiūra pagal ISO 27002 atnaujinimą.

Tikimasi, kad ji bus atnaujinta bendruose standartuose, pavyzdžiui, ISO 27701, ISO 27017 ir ISO 27018.

Nors bendra standarto struktūra yra panaši į kitų standartų struktūrą, iš esmės pakeista kontrolės skyrių struktūra. ISO 27002:2013, kurį sudaro 14 punktų, bus pakeistas 4 punktais, kaip parodyta kitame palyginime.

Ką turėtume daryti?

Pirma, nepamirškite, kad įprastomis aplinkybėmis paskelbus naują standartą, kuris turi būti patvirtintas, taikomas pereinamasis laikotarpis. Paprastai pereinamasis laikotarpis trunka 24 mėnesius, priklausomai nuo to, kurioje dabartinio sertifikavimo ciklo stadijoje yra sertifikavimas.

Galite pradėti ruoštis įsigydami paskelbtą ISO 27002:2022 versiją.

Ką galite padaryti šiuo etapu?

Nors neapsiribojama tik toliau pateiktu sąrašu, tai gali būti pirmieji dalykai, kuriuos galite padaryti;

– Įsigykite atnaujintą standartą,

– Naujojo ir senojo standarto palyginimas,

– Rizikos analizės atlikimas ir GAP analizės patikrinimas,

– Pasirinkite taikytinas kontrolės priemones ir nustatykite ISVS politiką, standartus ir atnaujinimus.

– Atnaujinkite savo pareiškimą apie taikytinumą,

– Atnaujinkite savo vidaus audito programą, kad į ją būtų įtrauktos pasirinktos atnaujintos kontrolės priemonės ….. ir t. t.

Pranešimas iš CFE

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *