Ar ISO 27002:2022 pārskatīto versiju ir sniegts uz informācijas drošības riska pārvaldību balstīts atsauces kopums informācijas drošības kontrolēm, kura mērķis ir uzlabot citus 27000 saimes standartus.
Šķiet, ka arvien pieaugošā apdraudējumu vide, drošības ievainojamības un straujā digitālo tehnoloģiju izaugsme atbilst trūkstošajām vajadzībām ar ISO 27002:2022 atjauninājumu.
Kas jauns ISO 27002:2022 standartā?
ISO 27002:2013 bija sadalīts 14 punktos un ietvēra 114 kontroles mehānismus. Tas ir pārstrukturēts, 2022. gada versijā ir iekļautas 93 pārbaudes, kas sadalītas 4 sadaļās:
5. Organizatoriskās (37 kontroles)
6. Cilvēki (8 kontroles)
7. Fiziskā (14 kontroles)
8. Tehnoloģiskās (34 kontroles)
Atbildes uz būtiskākajiem jautājumiem
1 – Kāda ir atšķirība starp ISO 27001 un ISO 27002?
ISO 27001 ir galvenais standarts, un uzņēmumi var sertificēties; uzņēmumi nevar iegūt sertifikātu ISO 27002:2022, jo tas ir tikai palīgstandarts.
ISO 27001 A pielikumā ir sniegts tikai drošības kontroļu saraksts, bet nav paskaidrots, kā tās var īstenot; ISO 27002 ir uzskaitītas tās pašas kontroles un sniegti norādījumi, kā tās īstenot. Tomēr šīs ISO 27002 vadlīnijas nav obligātas, kas nozīmē, ka uzņēmumi var izlemt, vai tās izmantot.
2 – Kad notiks šīs izmaiņas?
ISO 27002 tika atjaunināts 2022. gada 15. februārī, un ISO 27001 A pielikums tiks saskaņots ar šīm izmaiņām.
ISO 27001 A pielikums tiks atjaunināts 2022. gadā, datums vēl nav paziņots.
3 – Mēs vēlamies sākt ISO 27001 ieviešanu, vai mums būtu jāgaida, kamēr tiks publicētas izmaiņas, vai arī jāsāk jau tagad?
Ja jūsu pašreizējais vai potenciālais klients gaida, lai jūs saņemtu sertifikātu, jums jāsāk to darīt pēc iespējas ātrāk; ja ar savu projektu varat pagaidīt līdz 2022. gada beigām, varat gaidīt atjaunināto standartu.
Citiem vārdiem sakot, šim lēmumam nav nekāda sakara ar standartiem – tas ir atkarīgs no tā, cik ātri jums nepieciešams ISO 27001 sertifikāts.
4- Ja tagad mēs sāksim ar ISO 27001 lietojumprogrammu, vai mēs turpināsim ar jaunajiem vai vecajiem kontroles komplektiem?
Jums vajadzētu sākt ar esošajām kontrolēm, jo ISO 27001 izmaiņas vēl nav publicētas.
Pāreja uz jauno standarta redakciju būs neliels darbs, jo izmaiņas kontrolēs ir nelielas un jums būs pietiekami daudz laika, lai atjauninātu dokumentāciju jaunajām kontrolēm.
5- Mēs jau esam ieviesuši ISO 27001, kas mums ir jāmaina mūsu dokumentācijā?
Izmaiņas standartos lielākoties ir saistītas ar kontroles reorganizāciju, tāpēc izmaiņas tehnoloģiju sadaļā nebūs nepieciešamas, tikai izmaiņas dokumentācijā.
Tā kā izmaiņas ir mērenas, mēs iesakām nepievienot jaunus dokumentus un neizdzēst esošos dokumentus.
6 – Kad mums ir jāmaina dokumenti?
Pārejas periods šīm izmaiņām vēl nav publicēts, bet, visticamāk, tas būs 24 mēneši no oficiālā ISO 27001:2022 atjaunināšanas datuma.
Tāpēc jums būs pietiekami daudz laika, lai izpildītu prasības.
7 – Vai sertifikācijas iestādei ir jāpārbauda, vai dokumentos ir izmaiņas?
Jā, ja jūsu uzņēmums ir sertificēts, sertifikācijas iestāde pārbaudīs, vai pārejas periodā esat pielāgojis savus dokumentus.
Tā kā tās to darīs regulāru uzraudzības revīziju laikā, nebūs nepieciešams plānot jaunu revīziju.
Ietekme uz attiecīgajiem ISO 27000 standartiem
Ir daudzi standarti un sistēmas, kas ir saistīti ar ISO 27002:2013 vai balstīti uz to. Standarta aizstāšana ar jaunu versiju noteikti tos ietekmēs.
Pirmkārt, paredzams, ka ISO 27001 tiks atjaunināts drīz pēc ISO 27002:2022 pabeigšanas un publicēšanas. Saskaņā ar pašreizējo izpratni ISO 27001 atjauninājums aprobežosies ar nelielām teksta izmaiņām un pilnīgu A pielikuma pārskatīšanu saskaņā ar ISO 27002 atjauninājumu.
Paredzams, ka tā tiks atjaunināta tādos kopējos standartos kā ISO 27701, ISO 27017 un ISO 27018.
Lai gan standarta kopējā struktūra ir līdzīga citiem standartiem, ir veiktas būtiskas izmaiņas kontroles sadaļu struktūrā. ISO 27002:2013, kas sastāv no 14 punktiem, tiks aizstāts ar 4 punktiem, kā parādīts nākamajā salīdzinājumā.
Ko mums vajadzētu darīt?
Pirmkārt, paturiet prātā, ka parastos apstākļos jauna apstiprināmā standarta publicēšana ir pārejas periods. Parasti pārejas periods ir 24 mēneši atkarībā no tā, kādā posmā sertifikācija notiek pašreizējā sertifikācijas ciklā.
Jūs varat sākt gatavoties, iegādājoties publicēto ISO 27002:2022 versiju.
Ko jūs varat darīt šajā posmā?
Lai gan šis saraksts nav ierobežots, šīs var būt pirmās lietas, ko varat darīt;
– Iegādājieties atjaunināto standartu,
– Jaunā standarta un vecā standarta salīdzinājums,
– Riska analīzes veikšana un GAP analīzes pārbaude,
– Izvēlieties piemērojamās kontroles un iestatiet ISMS politikas, standartus un atjauninājumus.
– Atjauniniet savu paziņojumu par piemērojamību,
– Atjauniniet savu iekšējā audita programmu, lai iekļautu atlasītās atjauninātās kontroles ….. u.c.
–
Post no CFE