Upravte ISMS dokumentaci – aktualizace ISO 27002
![](https://www.qcom.cz/wp-content/uploads/2022/03/MCH_bezpečnost-informací-ISMS.gif)
Informace jsou synonymem dnešní doby!
Dnes již snad neexistuje organizace, která by se nemusela zabývat jejich efektivním a bezpečným zpracováním v celém životním cyklu. Od pořízení až po výmaz a skartaci. Možná řešení jsou rozmanitá (tomu pak odpovídají i výsledky).
Zavádíte či udržujete Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000? Nebo o zavedení uvažujete?
Pak by vás mělo zajímat, že v únoru 2022 byl po devíti letech aktualizován standard ISO/IEC 27002. Aktualizace přináší řadu změn. Zavádí kategorie, atributy a nová opatření umožňující reagovat na aktuální úskalí bezpečnosti informací.
![Q-COM ISMS](https://www.qcom.cz/wp-content/uploads/2018/08/sys-rizeni-grafiky-06.png)
Principem ISMS je ochrana identifikovaných informačních aktiv. Celý systém je navržen tak, aby zajistil (na základě analýzy rizik) adekvátní opatření chránící informační aktiva a poskytl odpovídající bezpečnostní jistotu zainteresovaným stranám.
![](https://www.qcom.cz/wp-content/uploads/2022/03/5_alfa.png)
Nová verze normy 27002
![](https://www.qcom.cz/wp-content/uploads/2022/03/20-1024x320.jpg)
První změny si všimneme již v úvodu, neboť je upraven samotný název normy „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Kontroly bezpečnosti informací“ (Information security, cybersecurity and privacy protection – Information security controls).
Autoři vypustili označení „Soubor postupů“/“Code of practise“, což lépe odráží účel normy, která slouží jako referenční dokument pro výběr kontrolních mechanismů k řízení bezpečnosti informací.
ISO/IEC 27002:2022 je výrazně delší než předchozí verze ISO/IEC 27002:2013. Výraznou změnou je přeskupení bezpečnostních opatření do 4 oblastí/kategorií namísto původních 14 klauzulí.
![](https://www.qcom.cz/wp-content/uploads/2022/03/kontroly-1024x320.png)
Některá opatření byla sloučena, přibyla nová a jiná zanikla. Nově tedy máme 93 opatření místo původních 114. Mezi zcela nová opatření patří:
- Správa hrozeb (shromažďování a analýza)
- Bezpečnost informací v rámci využívání cloudových služeb
- Připravenost ICT pro kontinuitu provozu
- Monitorovací aktivity
- Správa konfigurace
- Mazání informací
- Maskování dat
- Prevence úniku dat
- Filtrování webu
- Bezpečné kódování
Ke každému opatření se vztahuje pět atributů, které usnadňují jejich kategorizaci, přičemž jedno opatření může mít přiřazeno více atributů ze stejné skupiny:
- Druh opatření – preventivní, detektivní, nápravné
- Vlastnosti bezpečnosti informací – důvěrnost, integrita, dostupnost
- Fáze kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova
- Operační schopnosti – řízení, správa aktiv, ochrana informací, administrativní/personální/fyzická/technická bezpečnost
- Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost
Organizace si může zvolit i další atributy pro účinnější správu bezpečnostních opatření (například stupeň vyspělosti opatření, prioritu, stav implementace atp.).
Stejně tak je možno doplnit i další opatření specifická pro danou organizaci nebo lze využít opatření pro řízení identifikovatelných rizik, jež jsou uvedená v dalších odvětvových normách. Jedná se například o normu pro:
- cloudové služby ISO/IEC 27017
- ochranu soukromí ISO/IEC 27701
- energetický průmysl ISO/IEC 27019
- telekomunikační organizace ISO/IEC 27011
- zdravotnické organizace ISO 27799
Další vyčnívající změnou je rozdělení aktiv na primární a podpůrná. Primárními aktivy se míní podnikové procesy, aktivity a informace. Jedná se o prvky, které jsou závislé na podpůrných aktivech kam patří HW, SW, síťová infrastruktura, personál, organizační struktura, objekty apod.
![](https://www.qcom.cz/wp-content/uploads/2022/03/5_alfa.png)
Následovat bude aktualizace normy ISO/IEC 27001
![](https://www.qcom.cz/wp-content/uploads/2022/03/21-1024x320.jpg)
Pravděpodobně se ještě letos dočkáme také aktualizace normy ISO/IEC 27001, která klade požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému řízení, které musí být splněny, aby společnost získala certifikát o shodě od akreditovaného certifikačního orgánu.
Očekává se, že tento release spolu s aktualizovaným ISO/IEC 27002 položí základ pro nový pohled na informační a kybernetickou bezpečnost a s tím související požadavky na organizace, ale i specialisty z těchto oblastí.
Chcete-li držet krok s novými verzemi, bude potřeba upravit ISMS dokumentaci. S tím vám tým společnosti Q – COM rád pomůže.
![](https://www.qcom.cz/wp-content/uploads/2020/05/anatomy_small_blue.png)
![](https://www.qcom.cz/wp-content/uploads/2021/08/slogan-q-com-new.png)