Wraz z rewizją ISO 27002:2022 dostarczono zestaw referencyjny dla kontroli bezpieczeństwa informacji, który ma być stosowany w oparciu o zarządzanie ryzykiem bezpieczeństwa informacji i ma na celu ulepszenie innych norm z rodziny 27000.
Stale rosnące środowisko zagrożeń, luki w zabezpieczeniach i szybki rozwój technologii cyfrowej wydają się spełniać brakujące potrzeby związane z aktualizacją ISO 27002:2022.
Co nowego w normie ISO 27002:2022?
Norma ISO 27002:2013 została podzielona na 14 klauzul i zawiera 114 mechanizmów kontrolnych. Wersja 2022 zawiera 93 kontrolki podzielone na 4 sekcje:
5. Organizacyjne (37 kontroli)
6. Ludzie (8 kontroli)
7. Fizyczne (14 kontroli)
8. Technologiczne (34 kontrole)
Odpowiedzi na najważniejsze pytania
1 – Jaka jest różnica między ISO 27001 a ISO 27002?
ISO 27001 jest główną normą i firmy mogą ją certyfikować; Firmy nie mogą uzyskać certyfikatu ISO 27002:2022, ponieważ jest to tylko norma pomocnicza.
W załączniku A norma ISO 27001 zawiera jedynie listę środków kontroli bezpieczeństwa, ale nie wyjaśnia, w jaki sposób można je wdrożyć; norma ISO 27002 zawiera listę tych samych środków kontroli i wskazówki dotyczące ich wdrażania. Jednak ten przewodnik w ISO 27002 nie jest obowiązkowy, co oznacza, że firmy mogą zdecydować, czy je stosować.
2 – Kiedy te zmiany zostaną wprowadzone?
Norma ISO 27002 została zaktualizowana 15 lutego 2022 r., a załącznik A do normy ISO 27001 zostanie dostosowany do tych zmian.
Aktualizacja załącznika A do normy ISO 27001 nastąpi w 2022 r., data nie została jeszcze ogłoszona.
3 – Chcemy rozpocząć wdrażanie ISO 27001, czy powinniśmy poczekać, aż zmiany zostaną opublikowane, czy powinniśmy zacząć już teraz?
Jeśli Twój obecny lub potencjalny klient czeka na uzyskanie certyfikatu, powinieneś zacząć jak najszybciej; Jeśli możesz poczekać z projektem do końca 2022 roku, możesz poczekać na zaktualizowany standard.
Innymi słowy, ta decyzja nie ma nic wspólnego ze standardami – zależy od tego, jak szybko potrzebujesz certyfikatu ISO 27001.
4- Teraz, jeśli zaczniemy od aplikacji ISO 27001, czy będziemy kontynuować nowe zestawy kontrolne, czy stare?
Należy zacząć od istniejących kontroli, ponieważ zmiany w ISO 27001 nie zostały jeszcze opublikowane.
Migracja do nowej wersji standardu będzie niewielkim wysiłkiem, ponieważ zmiany w kontrolach są tylko umiarkowane i będziesz mieć dużo czasu na aktualizację dokumentacji dla nowych kontroli.
5- Wdrożyliśmy już ISO 27001, co musimy zmienić w naszej dokumentacji?
Zmiany w standardach są głównie związane z reorganizacją kontroli, więc nie będą potrzebne żadne zmiany w sekcji technologicznej, a jedynie zmiany w dokumentacji.
Ponieważ zmiany są umiarkowane, zalecamy, aby nie dodawać nowych dokumentów ani nie usuwać żadnych istniejących.
6- Kiedy musimy zmienić nasze dokumenty?
Okres przejściowy dla tych zmian nie został jeszcze opublikowany, ale prawdopodobnie wyniesie 24 miesiące od oficjalnej daty aktualizacji ISO 27001:2022.
W związku z tym będziesz mieć dużo czasu na spełnienie wymagań.
7 – Czy jednostka certyfikująca musi sprawdzać zmiany w dokumentach?
Tak, jeśli Twoja firma jest certyfikowana, jednostka certyfikująca sprawdzi, czy dostosowałeś swoje dokumenty w okresie przejściowym.
Ponieważ będą to robić podczas regularnych audytów nadzoru, nie będzie potrzeby planowania nowego audytu.
Wpływ na odpowiednie normy ISO 27000
Istnieje wiele standardów i ram związanych z normą ISO 27002:2013 lub opartych na niej. Zastąpienie standardu nową wersją z pewnością będzie miało na nie wpływ.
Po pierwsze, oczekuje się, że ISO 27001 otrzyma aktualizację wkrótce po sfinalizowaniu i opublikowaniu ISO 27002:2022. Zgodnie z obecnym stanem wiedzy, aktualizacja ISO 27001 będzie ograniczona do drobnych zmian tekstowych i pełnej rewizji załącznika A zgodnie z aktualizacją ISO 27002.
Oczekuje się, że zostanie on zaktualizowany we wspólnych standardach, takich jak ISO 27701, ISO 27017 i ISO 27018.
Podczas gdy ogólna struktura standardu jest podobna do innych standardów, wprowadzono istotną zmianę w sposobie struktury sekcji kontrolnych. Norma ISO 27002:2013, która składa się z 14 klauzul, zostanie zastąpiona 4 klauzulami, jak pokazano w następnym porównaniu.
Co powinniśmy zrobić?
Po pierwsze, należy pamiętać, że w normalnych okolicznościach publikacja nowego standardu, który ma zostać potwierdzony, będzie okresem przejściowym. Zwykle okres przejściowy będzie wynosił 24 miesiące, w zależności od tego, na jakim etapie bieżącego cyklu certyfikacji znajduje się certyfikacja.
Przygotowania można rozpocząć od zakupu opublikowanej wersji normy ISO 27002:2022.
Co można zrobić na tym etapie?
Chociaż nie ograniczają się one do poniższej listy, mogą to być pierwsze rzeczy, które możesz zrobić;
– Zakup zaktualizowanego standardu,
– Porównanie nowego i starego standardu,
– Przeprowadzenie analizy ryzyka i sprawdzenie analizy GAP,
– Wybierz odpowiednie mechanizmy kontrolne i ustaw zasady, standardy i aktualizacje ISMS.
– Zaktualizuj oświadczenie o stosowalności,
– Zaktualizuj program audytu wewnętrznego, aby uwzględnić wybrane zaktualizowane kontrole …. itd.
–
Post od CFE