В пересмотренном ISO 27002:2022 представлен эталонный набор средств контроля информационной безопасности, который должен использоваться на основе управления рисками информационной безопасности и направлен на улучшение других стандартов семейства 27000.
Постоянно растущая среда угроз, уязвимости безопасности и стремительный рост цифровых технологий, похоже, удовлетворяют недостающие потребности в обновлении ISO 27002:2022.
Что нового в стандарте ISO 27002:2022?
Стандарт ISO 27002:2013 был разделен на 14 пунктов и содержал 114 элементов управления. Он был реструктурирован, версия 2022 включает 93 элемента управления, разделенные на 4 раздела:
5. Организационный (37 элементов управления)
6. Люди (8 элементов управления)
7. Физический (14 элементов управления)
8. Технологические (34 контроля)
Ответы на основные вопросы
1 — В чем разница между ISO 27001 и ISO 27002?
ISO 27001 является основным стандартом, и компании могут его сертифицировать; компании не могут получить сертификат ISO 27002:2022, так как он является лишь вспомогательным стандартом.
В приложении А стандарта ISO 27001 приводится только список средств контроля безопасности, но не объясняется, как они могут быть реализованы; в стандарте ISO 27002 перечислены те же средства контроля и даны рекомендации по их реализации. Однако это руководство в ISO 27002 не является обязательным, то есть компании могут сами решать, использовать ли их.
2 — Когда произойдут эти изменения?
Стандарт ISO 27002 был обновлен 15 февраля 2022 года, и Приложение A стандарта ISO 27001 будет приведено в соответствие с этими изменениями.
Обновление Приложения А к стандарту ISO 27001 произойдет в 2022 году, дата пока не объявлена.
3 — Мы хотим начать внедрение ISO 27001, должны ли мы подождать, пока изменения будут опубликованы, или начать сейчас?
Если ваш текущий или потенциальный клиент ждет, когда вы пройдете сертификацию, вам следует начать как можно скорее; если вы можете подождать со своим проектом до конца 2022 года, вы можете подождать обновленного стандарта.
Другими словами, это решение не имеет никакого отношения к стандартам — оно зависит от того, насколько быстро вам нужна сертификация ISO 27001.
4- Теперь, если мы начнем применять ISO 27001, будем ли мы продолжать новые наборы элементов управления или старые?
Вам следует начать с существующих средств контроля, поскольку изменения в ISO 27001 еще не опубликованы.
Переход на новую редакцию стандарта не потребует больших усилий, поскольку изменения в средствах контроля незначительны, и у вас будет достаточно времени для обновления документации для новых средств контроля.
5- Мы уже внедрили ISO 27001, что нам нужно изменить в нашей документации?
Изменения в стандартах в основном связаны с реорганизацией контроля, поэтому изменений в технологических разделах не потребуется, только изменения в документации.
Поскольку изменения умеренные, мы рекомендуем не добавлять новые и не удалять существующие документы.
6- Когда нужно менять документы?
Переходный период для этих изменений еще не опубликован, но, скорее всего, он составит 24 месяца с официальной даты обновления ISO 27001:2022.
Таким образом, у вас будет достаточно времени, чтобы выполнить требования.
7 — Должен ли орган по сертификации проверять изменения в документах?
Да, если ваша компания сертифицирована, орган по сертификации проверит, адаптировали ли вы свои документы в течение переходного периода.
Поскольку они будут делать это в ходе регулярных надзорных аудитов, нет необходимости планировать новый аудит.
Влияние на соответствующие стандарты ISO 27000
Существует множество стандартов и рамок, связанных с ISO 27002:2013 или основанных на нем. Замена стандарта на новую версию, безусловно, повлияет на них.
Прежде всего, ожидается, что ISO 27001 получит обновление вскоре после завершения разработки и публикации ISO 27002:2022. Согласно текущему пониманию, обновление ISO 27001 будет ограничено незначительными изменениями текста и полным пересмотром приложения А в соответствии с обновлением ISO 27002.
Ожидается, что он будет обновлен в таких общих стандартах, как ISO 27701, ISO 27017 и ISO 27018.
Хотя общая структура стандарта схожа с другими стандартами, значительные изменения были внесены в структуру разделов, посвященных контролю. ISO 27002:2013, состоящий из 14 пунктов, будет заменен 4 пунктами, как показано в следующем сравнении.
Что мы должны делать?
Во-первых, имейте в виду, что при обычных обстоятельствах публикация нового стандарта, подлежащего подтверждению, является переходным периодом. Обычно переходный период составляет 24 месяца в зависимости от того, на каком этапе текущего сертификационного цикла находится сертификация.
Вы можете начать подготовку, приобретя опубликованную версию стандарта ISO 27002:2022.
Что вы можете сделать на этом этапе?
Хотя приведенный ниже список не ограничен, это могут быть первые действия, которые вы можете предпринять;
— Приобретите обновленный стандарт,
— Сравнение нового стандарта и старого,
— Проведение анализа рисков и проверка GAP-анализа,
— Выберите применимые элементы управления и установите политики, стандарты и обновления ISMS.
— Обновите заявление о применимости,
— Обновите программу внутреннего аудита, включив в нее выбранные обновленные средства контроля …. И т.д.
—
Сообщение от CFE