Odată cu revizuirea ISO 27002:2022, a fost furnizat un set de referință pentru controalele de securitate a informațiilor care trebuie utilizate pe baza managementului riscului de securitate a informațiilor și care vizează îmbunătățirea altor standarde din familia 27000.
Mediul de amenințare în continuă creștere, vulnerabilitățile de securitate și creșterea rapidă a tehnologiei digitale par să răspundă nevoilor care lipseau odată cu actualizarea ISO 27002:2022.
Ce este nou în ISO 27002:2022?
ISO 27002:2013 a fost împărțită în 14 clauze și conținea 114 controale. Aceasta a fost restructurată, versiunea 2022 include 93 de controale împărțite în 4 secțiuni:
5. Organizațional (37 de controale)
6. Oameni (8 controale)
7. Fizic (14 controale)
8. Tehnologic (34 controale)
Răspunsuri la întrebările dumneavoastră esențiale
1 – Care este diferența dintre ISO 27001 și ISO 27002?
ISO 27001 este standardul principal și companiile pot certifica; companiile nu pot obține certificarea ISO 27002:2022, deoarece este doar un standard de sprijin.
În anexa A, ISO 27001 oferă doar o listă de controale de securitate, dar nu explică modul în care acestea pot fi puse în aplicare; ISO 27002 enumeră aceleași controale și oferă îndrumări privind modul de punere în aplicare a acestora. Cu toate acestea, acest ghid din ISO 27002 nu este obligatoriu, ceea ce înseamnă că întreprinderile pot decide dacă le folosesc sau nu.
2 – Când vor avea loc aceste schimbări?
ISO 27002 a fost actualizată la 15 februarie 2022, iar anexa A la ISO 27001 va fi adaptată la aceste modificări.
Actualizările la anexa A la ISO 27001 vor avea loc în 2022, dar data nu a fost încă anunțată.
3 – Vrem să începem să implementăm ISO 27001, ar trebui să așteptăm până când sunt publicate modificările sau ar trebui să începem acum?
Dacă actualul sau potențialul client așteaptă să obțineți certificarea, ar trebui să începeți cât mai curând posibil; dacă puteți aștepta până la sfârșitul anului 2022 cu proiectul dumneavoastră, puteți aștepta standardul actualizat.
Cu alte cuvinte, această decizie nu are nimic de-a face cu standardele – depinde de cât de repede aveți nevoie de certificarea ISO 27001.
4- Acum, dacă începem cu aplicarea ISO 27001, vom continua cu noile seturi de control sau cu cele vechi?
Ar trebui să începeți cu controalele existente, deoarece modificările la ISO 27001 nu au fost încă publicate.
Migrarea la noua revizuire a standardului va fi un efort minor, deoarece modificările la controale sunt doar moderate și veți avea suficient timp pentru a actualiza documentația pentru noile controale.
5- Am implementat deja ISO 27001, ce trebuie să schimbăm în documentația noastră?
Modificările din standarde sunt legate în principal de reorganizarea controalelor, astfel încât nu vor fi necesare modificări în secțiunile tehnologice, ci doar modificări ale documentației.
Deoarece modificările sunt moderate, vă recomandăm să nu adăugați documente noi și să nu ștergeți documente existente.
6- Când trebuie să ne schimbăm documentele?
Perioada de tranziție pentru aceste modificări nu a fost încă publicată, dar va fi probabil de 24 de luni de la data oficială de actualizare a ISO 27001:2022.
Prin urmare, veți avea suficient timp pentru a vă conforma.
7 – Organismul de certificare trebuie să verifice dacă există modificări în documente?
Da, dacă societatea dumneavoastră este certificată, organismul de certificare va verifica dacă v-ați adaptat documentele în timpul perioadei de tranziție.
Deoarece vor face acest lucru în timpul auditurilor de supraveghere obișnuite, nu va fi nevoie să planifice un nou audit.
Impactul asupra standardelor ISO 27000 relevante
Există multe standarde și cadre legate de sau bazate pe ISO 27002:2013. Înlocuirea standardului cu o nouă versiune îi va afecta cu siguranță.
În primul rând, se așteaptă ca ISO 27001 să primească o actualizare la scurt timp după ce ISO 27002:2022 va fi finalizată și publicată. Conform înțelegerii actuale, actualizarea ISO 27001 se va limita la modificări minore ale textului și la o revizuire completă a anexei A în conformitate cu actualizarea ISO 27002.
Se preconizează că va fi actualizat în standardele comune, cum ar fi ISO 27701, ISO 27017 și ISO 27018.
În timp ce structura generală a standardului este similară cu cea a altor standarde, a fost făcută o schimbare majoră în modul în care sunt structurate secțiunile de control. ISO 27002:2013, care constă din 14 clauze, va fi înlocuită cu 4 clauze, după cum se arată în următoarea comparație.
Ce ar trebui să facem?
În primul rând, rețineți că, în condiții normale, publicarea unui nou standard care urmează să fie confirmat va fi o perioadă de tranziție. În mod normal, perioada de tranziție va fi de 24 de luni, în funcție de stadiul în care se află certificarea în actualul ciclu de certificare.
Puteți începe să vă pregătiți achiziționând versiunea publicată a ISO 27002:2022.
Ce puteți face în această etapă?
Deși nu se limitează la lista de mai jos, acestea pot fi primele lucruri pe care le puteți face;
– Achiziționați standardul actualizat,
– Compararea noului standard cu cel vechi,
– Efectuarea unei analize de risc și verificarea analizei GAP,
– Selectați controalele aplicabile și stabiliți politicile, standardele și actualizările SMSI.
– Actualizați declarația de aplicabilitate,
– Actualizați-vă programul de audit intern pentru a include controalele actualizate selectate …. Etc.
–
Mesaj din CFE