Upravte ISMS dokumentaci – aktualizace ISO 27002

Informace jsou synonymem dnešní doby!

Dnes již snad neexistuje organizace, která by se nemusela zabývat jejich efektivním a bezpečným zpracováním v celém životním cyklu. Od pořízení až po výmaz a skartaci. Možná řešení jsou rozmanitá (tomu pak odpovídají i výsledky).

Zavádíte či udržujete
Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000? Nebo o zavedení uvažujete?

Pak by vás mělo zajímat, že v únoru 2022 byl po devíti letech aktualizován standard ISO/IEC 27002. Aktualizace přináší řadu změn. Zavádí kategorie, atributy a nová opatření umožňující reagovat na aktuální úskalí bezpečnosti informací.

Q-COM ISMS

Principem ISMS je ochrana identifikovaných informačních aktiv. Celý systém je navržen tak, aby zajistil (na základě analýzy rizik) adekvátní opatření chránící informační aktiva a poskytl odpovídající bezpečnostní jistotu zainteresovaným stranám.

Nová verze normy 27002

První změny si všimneme již v úvodu, neboť je upraven samotný název normy „Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Kontroly bezpečnosti informací“ (Information security, cybersecurity and privacy protection – Information security controls).

Autoři vypustili označení „Soubor postupů“/“Code of practise“, což lépe odráží účel normy, která slouží jako referenční dokument pro výběr kontrolních mechanismů k řízení bezpečnosti informací.

ISO/IEC 27002:2022 je výrazně delší než předchozí verze ISO/IEC 27002:2013. Výraznou změnou je přeskupení bezpečnostních opatření do 4 oblastí/kategorií namísto původních 14 klauzulí.

Některá opatření byla sloučena, přibyla nová a jiná zanikla. Nově tedy máme 93 opatření místo původních 114. Mezi zcela nová opatření patří:  

  • Správa hrozeb (shromažďování a analýza)
  • Bezpečnost informací v rámci využívání cloudových služeb
  • Připravenost ICT pro kontinuitu provozu
  • Monitorovací aktivity
  • Správa konfigurace
  • Mazání informací
  • Maskování dat
  • Prevence úniku dat
  • Filtrování webu
  • Bezpečné kódování

Ke každému opatření se vztahuje pět atributů, které usnadňují jejich kategorizaci, přičemž jedno opatření může mít přiřazeno více atributů ze stejné skupiny:

  • Druh opatření – preventivní, detektivní, nápravné
  • Vlastnosti bezpečnosti informací – důvěrnost, integrita, dostupnost
  • Fáze kybernetické bezpečnosti – identifikace, ochrana, detekce, reakce, obnova
  • Operační schopnosti – řízení, správa aktiv, ochrana informací, administrativní/personální/fyzická/technická bezpečnost
  • Oblasti bezpečnosti – správa a ekosystém, ochrana, obrana, odolnost

Organizace si může zvolit i další atributy pro účinnější správu bezpečnostních opatření (například stupeň vyspělosti opatření, prioritu, stav implementace atp.).

Stejně tak je možno doplnit i další opatření specifická pro danou organizaci nebo lze využít opatření pro řízení identifikovatelných rizik, jež jsou uvedená v dalších odvětvových normách. Jedná se například o normu pro:

  • cloudové služby ISO/IEC 27017
  • ochranu soukromí ISO/IEC 27701
  • energetický průmysl ISO/IEC 27019
  • telekomunikační organizace ISO/IEC 27011
  • zdravotnické organizace ISO 27799

Další vyčnívající změnou je rozdělení aktiv na primární a podpůrná. Primárními aktivy se míní podnikové procesy, aktivity a informace. Jedná se o prvky, které jsou závislé na podpůrných aktivech kam patří HW, SW, síťová infrastruktura, personál, organizační struktura, objekty apod.

Následovat bude aktualizace normy ISO/IEC 27001

Pravděpodobně se ještě letos dočkáme také aktualizace normy ISO/IEC 27001, která klade požadavky na vytvoření, zavedení, udržování a neustálé zlepšování systému řízení, které musí být splněny, aby společnost získala certifikát o shodě od akreditovaného certifikačního orgánu. 

Očekává se, že tento release spolu s aktualizovaným ISO/IEC 27002 položí základ pro nový pohled na informační a kybernetickou bezpečnost a s tím související požadavky na organizace, ale i specialisty z těchto oblastí. 

Chcete-li držet krok s novými verzemi, bude potřeba upravit ISMS dokumentaci. S tím vám tým společnosti Q – COM rád pomůže.

Nastal čas na změnu…
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.