Medzinárodná norma ISO/IEC 27001 dostala v roku 2022 svoju novú verziu. Hoci posledná aktualizácia ISO 27001 bola pred takmer 10 rokmi, očakávame, že ďalšie zmeny sa udejú oveľa rýchlejšie, keďže hrozby kybernetickej bezpečnosti neustále rastú exponenciálne.
Norma ISO/IEC 27001:2022 opisuje rámec pre systém riadenia bezpečnosti informácií (skrátene ISMS) – a to pre spoločnosti bez ohľadu na organizačnú štruktúru, veľkosť alebo zameranie. Nosným prvkom je tu riadenie rizík. Meniace sa kybernetické hrozby neustále využívajú nové potenciálne zraniteľné miesta v spoločnostiach s cieľom napadnúť a ohroziť informačné toky, a tým aj obchodné procesy. Riziká vyplývajúce z tohto mechanizmu na tri základné ciele ochrany informačnej bezpečnosti – dôvernosť, integritu a dostupnosť – je potrebné identifikovať a riadiť.
Zmeny v norme ISO/IEC 27001: 2022 museli skôr či neskôr nastať s ohľadom na technológie, globalizáciu a súčasné potreby užívateľov a zúčastnených strán. Zmeny všeobecne nie sú nijak veľkého rozsahu, dotýkajú sa hlavne spôsobu pravidelných kontrol v spoločnostiach a pomôžu zlepšiť nastavené procesy i ISMS.
Jej názov (zatiaľ len) v anglickom jazyku je „Information security, cybersecurity and privacy protection – Information security management systems – Requirements“. Predmetná norma ešte nie je preložená do slovenského jazyka, podľa našich skúseností by slovenský preklad tejto normy mohol znieť „Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia – Systémy manažérstva informačnej bezpečnosti – Požiadavky.
Nová verzia bola vydaná s označením ISO/IEC 27001:2022 dňa 25. októbra 2022 ako reakcia na neustále sa meniace bezpečnostné prostredie, novovznikajúce bezpečnostné hrozby a zraniteľnosti, nepretržité rozširovanie kybernetického priestoru a zvyšujúcu sa rýchlosť zmien a potrebných reakcií v oblasti riadenia bezpečnostných incidentov.
Aké sú kľúčové zmeny normy ISO 27001:2022?
Nezmenené, ale spresnené, ostali aj požiadavky v bode 6.1.3 normy ISO/IEC 27001:2022, a to potreba porovnať existujúce bezpečnostné opatrenia s požiadavkami normy a potreba spracovať vyhlásenie o aplikovateľnosti (SoA – Statement of Applicability).
V tomto kontexte je vhodné spomenúť implementačnú „dvojičku“ tejto normy, ktorou je medzinárodná norma ISO/IEC 27002:2022 (táto je všeobecne uznávaným štandardom, nástrojom a katalógom všeobecných bezpečnostných opatrení smerujúcich k praktickej pomoci organizáciám pri implementácii požiadaviek z prílohy A normy ISO/IEC 27001:2022).
Nová verzia ISO/IEC 27001:2022 je zároveň prispôsobená harmonizovanej štruktúre s orientáciou na procesy a ich interakcie prebiehajúce v organizáciách. A to spolu s požiadavkou na definovanie riadených cieľovo orientovaných kritérií týchto procesov.
Revízia normy ISO/IEC 27001 verzia 2022
Veľmi významná zmena dopĺňa kontext organizácie v ustanovení 4.4 o požiadavku identifikovať potrebné procesy a ich interakcie v rámci ISMS, ktoré sú potrebné na jeho implementáciu a údržbu. Táto explicitná požiadavka zosúlaďuje normu ISO/IEC 27001:2022 s prístupom najlepších postupov iných systémov riadenia podľa HS (HLS). Systém riadenia informačnej bezpečnosti musí byť založený na zavedených, sledovateľných procesoch a ich interakciách. Na základe týchto procesov sú potom navrhnuté a prispôsobené kontroly bezpečnosti informácií podľa prílohy A.
Medzi hlavné zmeny patrí: 35 kontrol zostalo nezmenených, 23 kontrol bolo premenovaných, 57 kontrol bolo zlúčených do 24 kontrol a pribudlo 11 nových kontrol.
Ďalej boli vykonané skôr menšie objasnenia a spresnenia v nasledujúcich ustanoveniach:
- Ustanovenie 5.3 sa doplnilo o výslovnú požiadavku, aby boli v rámci organizácie známe zodpovednosti a právomoci za úlohy súvisiace s bezpečnosťou informácií.
- 6.3 Plánovanie zmien – Odteraz si všetky zmeny vyžadujú zdokumentované plánovanie.
- Ustanovenie 7.4 upravuje potrebu internej a externej komunikácie týkajúcej sa ISMS. Okrem stále platných ustanovení o tom, čo, kedy a s kým, je spôsob komunikácie oproti predchádzajúcim požiadavkám funkčným zjednodušením.
- Ustanovenie 9.2 Interný audit a 9.3 Preskúmanie vedením boli prispôsobené harmonizovanej štruktúre. Ustanovenie 9.2 je teraz rozdelené na 9.2.1 a 9.2.2, ustanovenie 9.3 je rozdelené na tri podčasti 9.3.1, 9.3.2 a 9.3.3.
- Poradie, v ktorom sú ustanovenia 10.1 a 10.2 štruktúrované, bolo prispôsobené harmonizovanej štruktúre. Aspekt perspektívneho trvalého zlepšovania teraz v ustanovení 10.1 predchádza retrospektívnemu riešeniu nezhôd a nápravných opatrení v ustanovení10.2 bez ďalších obsahových zmien.
Pamätajte, že budete mať čas („prechodné obdobie“) na úplnú migráciu na nové požiadavky. Najlepší čas na to je pred ďalším interným auditom. Nezáleží na tom, či ste certifikovaní roky alebo ste v procese certifikácie.
Klúčové zmeny v prílohe A normy ISO/IEC 27001:2022
Príloha A ISO/IEC 27001:2022 zaznamenala najväčšiu zmenu. Aktualizovaná verzia prílohy A ISO/IEC 27001:2022 bola kompletne prerobená a revidovaná. V dôsledku toho sa počet kontrol v novej verzii ISO/IEC 27001:2022 znížil zo 114 na 93. Okrem toho sú teraz tieto bezpečnostné kontroly rozdelené do štyroch sekcií namiesto predchádzajúcich 14.
Okrem toho táto zmena predstavuje hmatateľný pokus urobiť normu stručnejšou a jednoduchšou na implementáciu. Presahy a opakovania boli odstránené, aby sa vytvorilo päť hlavných bezpečnostných atribútov, ktoré uľahčujú ich zoskupovanie.
Okrem toho, že nová norma ISO/IEC 27001:2022 odstraňuje ciele kontroly, kontroly informačnej bezpečnosti v prílohe A boli revidované, aktualizované a doplnené a reorganizované o niektoré nové kontroly. Je to v súlade s požiadavkami stanovenými v norme ISO 27002:2022
Pôvodných 14 článkov prílohy A je teraz zameraných na 4 oblasti:
- Časť 5: Organizačné (37 ovládacích prvkov)
- Časť 6: Ľudia (8 ovládacích prvkov)
- Časť 7: Fyzické (14 ovládacích prvkov)
- Časť 8: Technológia (34 ovládacích prvkov)
Stručne povedané, 35 kontrol zostalo nezmenených, 23 kontrol bolo premenovaných, 57 kontrol bolo zlúčených do 24 kontrol a bolo pridaných 11 nových kontrol:
- 5.23 Informačná bezpečnosť pri využívaní cloudových služieb
- 5.30 Pripravenosť IKT na kontinuitu podnikania
- 5.7 Spravodajstvo o hrozbách
- 7.4 Monitorovanie fyzickej bezpečnosti
- 8.1 Maskovanie údajov
- 8.9 Správa konfigurácie
- 8.10 Vymazanie informácií
- 8.12 Zabránenie úniku údajov
- 8.16 Monitorovacie činnosti
- 8.23 Filtrovanie webu
- 8.28 Bezpečné kódovanie
Zatiaľ čo príloha A normy ISO/IEC 27001:2022 sa obmedzuje na pomenovanie kontrolných mechanizmov, implementačná príručka ISO/IEC 27002:2022 poskytuje ďalšie možnosti ich kategorizácie. Tam je každej kontrole priradených päť atribútov, ktoré umožňujú rôzne pohľady a perspektívy na ne. Atribúty alebo hodnoty ich atribútov možno použiť na filtrovanie, triedenie alebo zobrazenie pre rôzne organizačné pohľady.
Ako aktualizácia ovplyvní vašu organizáciu, ak implementujete ISO 27001?
V prvom rade nepanikárte. Pokračujte v implementácii podľa normy ISO 27001: 2013. Po získaní certifikátu podľa tejto normy budete mať čas do 31.10.2025, aby ste prišli na nové požiadavky normy ISO/IEC 27001:2022
Akreditované certifikačné orgány začnú ponúkať certifikáciu podľa ISO 27001:2022 najneskôr po 31.10.2023.
Ako aktualizácia ovplyvní vašu organizáciu, ak ste už certifikovaní podľa ISO 27001:2013?
Pamätajte, že budete mať čas („prechodné obdobie“) na úplnú migráciu na nové požiadavky.
Prechodné obdobie bolo určené na 3 roky. To znamená že najneskorší prechod je až v roku v októbri 2025.
- Posledný termín pre počiatočné/re-certifikačné audity podľa predchádzajúcej normy ISO 27001:2013
-> 18 mesiacov po zverejnení novej normy ISO/IEC 27001:2022. - Prechod všetkých existujúcich certifikátov na novú normu ISO/IEC 27001:2022
-> 3 roky, vzťahujúce sa na posledný deň mesiaca vydania normy ISO/IEC 27001:2022 (október 2025)
V prípade, že máte záujem o implementáciu systému informačnej bezpečnosti do Vašej spoločnosti alebo certifikáciu Vášho systému informačnej bezpečnosti podľa požiadaviek normy ISO 27001 prosím vyplňte rýchly formulár vpravo resp. nám napíšte na mail. Cenovú ponuku obdržíte najneskôr v deň žiadosti.
