Переглянутий стандарт ISO 27002:2022 містить еталонний набір засобів контролю інформаційної безпеки, що ґрунтується на управлінні ризиками інформаційної безпеки, і має на меті вдосконалити інші стандарти сімейства 27000.
Постійно зростаюче середовище загроз, вразливості безпеки і швидке зростання цифрових технологій, здається, задовольняють відсутні потреби в оновленні ISO 27002:2022.
Що нового в ISO 27002:2022?
ISO 27002:2013 був розділений на 14 пунктів і містив 114 елементів управління. Він був реструктуризований, версія 2022 включає 93 елементи керування, розділені на 4 розділи:
5. Організаційні (37 контролів)
6. Люди (8 контролів)
7. Фізичні (14 контролів)
8. Технологічні (34 контролі)
Відповіді на основні питання
1 – У чому різниця між ISO 27001 та ISO 27002?
ISO 27001 є основним стандартом, і компанії можуть пройти сертифікацію; компанії не можуть отримати сертифікацію ISO 27002:2022, оскільки це лише допоміжний стандарт.
У Додатку А ISO 27001 надає лише перелік засобів контролю безпеки, але не пояснює, як їх можна впровадити; ISO 27002 перераховує ті самі засоби контролю та надає вказівки, як їх впровадити. Однак ці настанови в ISO 27002 не є обов’язковими, а це означає, що компанії можуть вирішувати, чи використовувати їх.
2 – Коли відбудуться ці зміни?
ISO 27002 було оновлено 15 лютого 2022 року, і Додаток А до ISO 27001 буде приведено у відповідність до цих змін.
Оновлення Додатку А до ISO 27001 відбудеться у 2022 році, дата ще не оголошена.
3 – Ми хочемо почати впроваджувати ISO 27001, чи варто нам чекати, поки зміни будуть опубліковані, або почати вже зараз?
Якщо ваш поточний або потенційний клієнт чекає від вас сертифікації, вам слід почати якомога швидше; якщо ви можете почекати з вашим проектом до кінця 2022 року, ви можете дочекатися оновленого стандарту.
Іншими словами, це рішення не має нічого спільного зі стандартами – воно залежить від того, як швидко вам потрібна сертифікація ISO 27001.
4- Тепер, якщо ми почнемо з застосування ISO 27001, ми будемо продовжувати з новими контрольними наборами чи зі старими?
Вам слід почати з існуючих засобів контролю, оскільки зміни до ISO 27001 ще не опубліковані.
Перехід на нову версію стандарту не вимагатиме значних зусиль, оскільки зміни в елементах керування незначні, і у вас буде достатньо часу, щоб оновити документацію для нових елементів керування.
5 – Ми вже впровадили ISO 27001, що нам потрібно змінити в нашій документації?
Зміни в стандартах здебільшого пов’язані з реорганізацією контролю, тому зміни в технологічному розділі не будуть потрібні, лише зміни в документації.
Оскільки зміни є помірними, ми рекомендуємо не додавати нові документи і не видаляти існуючі.
6- Коли нам потрібно змінити наші документи?
Перехідний період для цих змін ще не оприлюднено, але, ймовірно, він становитиме 24 місяці від офіційної дати оновлення ISO 27001:2022.
Тому у вас буде достатньо часу, щоб виконати вимоги.
7 – Чи повинен орган сертифікації перевіряти наявність змін у документах?
Так, якщо ваша компанія сертифікована, орган сертифікації перевірить, чи адаптували ви свої документи протягом перехідного періоду.
Оскільки вони будуть робити це під час регулярних наглядових аудитів, не буде необхідності планувати новий аудит.
Вплив на відповідні стандарти ISO 27000
Існує багато стандартів і фреймворків, пов’язаних з ISO 27002:2013 або заснованих на ньому. Заміна стандарту на нову версію однозначно вплине на них.
Перш за все, очікується, що ISO 27001 отримає оновлення незабаром після того, як ISO 27002:2022 буде доопрацьований і опублікований. Згідно з поточним розумінням, оновлення ISO 27001 обмежиться незначними змінами в тексті та повним переглядом Додатку А відповідно до оновлення ISO 27002.
Очікується, що його буде оновлено в загальних стандартах, таких як ISO 27701, ISO 27017 та ISO 27018.
Хоча загальна структура стандарту подібна до інших стандартів, значні зміни були внесені в структуру контрольних розділів. ISO 27002:2013, який складається з 14 пунктів, буде замінено на 4 пункти, як показано в наступному порівнянні.
Що ж нам робити?
По-перше, майте на увазі, що за звичайних обставин публікація нового стандарту, який підлягає підтвердженню, є перехідним періодом. Зазвичай перехідний період становить 24 місяці, залежно від того, на якій стадії поточного циклу сертифікації перебуває сертифікація.
Ви можете почати підготовку, придбавши опубліковану версію ISO 27002:2022.
Що ви можете зробити на цьому етапі?
Хоча це не обмежується наведеним нижче списком, це може бути перше, що ви можете зробити;
– Придбайте оновлений стандарт,
– Порівняння нового стандарту зі старим,
– Проведення аналізу ризиків та перевірка GAP-аналізу,
– Виберіть відповідні засоби контролю та встановіть політики, стандарти та оновлення СУІБ.
– Оновіть свою Заяву про застосування,
– Оновіть свою програму внутрішнього аудиту, включивши до неї окремі оновлені засоби контролю …. І так далі.
–
Допис від CFE