Aktualizacja normy ISO 27002 i jej wpływ na ISO 27001. Co zmieniono w nowej wersji standardu?

calendar 27 kwietnia 2022
clock 3m 55s

Międzynarodowa norma ISO 27002 została ostatnio poddana przeglądowi i aktualizacji. Jakie zmiany wprowadzono w normie odnoszącej się do środków kontroli bezpieczeństwa informacji? Jaki wpływ ma nowy standard ISO 27002:2022 na ISO 27001?

Wszystkie normy ISO nowelizowane są co kilka lat. Dzięki temu standardy odpowiadają zmieniającej się rzeczywistości, bieżącym warunkom i potrzebom organizacji, które z norm tych korzystają. Aktualizację normy ISO 27002 rozpoczęto w 2018 roku. Jej bieżąca wersja opublikowana została prawie 4 lata później, tj. 15 lutego 2022 roku.

Przeczytaj również: Normy ISO w firmie: czym są? Wszystko o normach ISO, wdrażaniu i certyfikacjach

ISO 27002 – definicja normy

ISO 27002 (a dokładnie ISO/IEC 27002) to norma opublikowana przez Międzynarodową Organizację Normalizacyjną. Norma zawiera wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji. Standard odnosi się bezpośrednio do normy ISO 27001 i stanowi jej merytoryczne oraz opisowe rozwinięcie.

Norma ISO 27002 - definicja

Jakie zmiany wprowadzono w normie ISO 27002?

W standardzie ISO 27002:2022 wprowadzono zmiany mające na celu głównie zaktualizowanie środków kontroli bezpieczeństwa informacji, tak aby zgodne z wymaganiami prawnymi, aktualnym poziomem wiedzy, odzwierciedlały zmiany w rozwoju technologii IT.

Pierwszą zauważalną zmianą jest tytuł normy. Wcześniejsza nazwa „Technika informatyczna – Techniki bezpieczeństwa – Kodeks postępowania dla kontroli bezpieczeństwa informacji” została zastąpiona tytułem „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności – Kontrole bezpieczeństwa informacji”. Norma więc skupia się bardziej niż dotychczas na cyberbezpieczeństwie, ochronie prywatności oraz zarządzaniu podatnościami bezpieczeństwa.

W zaktualizowanej normie dokonano również zmian strukturalnych. Pomniejszono i przegrupowano kategorie metod kontrolnych – 14 dotychczasowych sekcji przegrupowano na 4. Obecnie mamy więc następujące obszary kontroli: organizacyjne, dotyczące ludzi, fizyczne i technologiczne. Zmniejszeniu uległa także liczba metod kontrolnych – ze 114 do 93 technik. Zmiany w technikach zabezpieczeń objęły również usunięcie 3 metod, połączenie 48 metod w 19 oraz dodanie 11 nowych.

Usunięte metody bezpieczeństwa w ISO 27002:2022

Techniki bezpieczeństwa, które usunięto w zaktualizowanym standardzie to:

  • Postępowanie z aktywami,
  • Wynoszenie aktywów,
  • Zgłaszanie słabości związanych z bezpieczeństwem informacji.

Nowe techniki zabezpieczeń w normie ISO 27002:2022

W najnowszej wersji standardu dodano następujące metody zabezpieczeń:

  • Analiza zagrożeń,
  • Bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
  • Gotowość teleinformatyczna do zapewnienia ciągłości działania,
  • Monitorowanie bezpieczeństwa fizycznego,
  • Zarządzanie konfiguracją,
  • Usuwanie informacji,
  • Maskowanie danych,
  • Zapobieganie wyciekom danych,
  • Monitorowanie baz danych,
  • Filtrowanie sieci,
  • Bezpieczne kodowanie.

Sekcja atrybutów w nowej wersji normy ISO 27002

W ISO 27002:2022 wprowadzono do każdej techniki sekcję atrybutów. Pozwalają one ustandaryzować sortowanie i filtrowanie kontroli zabezpieczeń oraz umożliwiają szybkie dopasowanie wyboru kontroli do wspólnego języka branżowego i standardów. Atrybuty, o których mowa to:

  • Typy zabezpieczeń (zapobiegawcze, reaktywne lub korygujące),
  • Właściwości bezpieczeństwa informacji (poufności, integralności lub dostępności),
  • Koncepcje cyberbezpieczeństwa (identyfikacja, ochrona, wykrywanie, reagowanie lub przywracanie),
  • Możliwości operacyjne,
  • Domeny bezpieczeństwa.

Zaktualizowana norma ISO 27002 a ISO 27001

Zmiana normy ISO 27002 na nową wersję wiąże się z koniecznością aktualizacji ISO 27001 w celu utrzymania zgodności obu standardów. Ze względu na to, że znowelizowana norma jest w zasadzie rozszerzeniem załącznika A normy ISO 27001, to należy się spodziewać, że wkrótce i on zostanie zaktualizowany. Nieoficjalnie mówi się o wydaniu znormalizowanej wersji ISO 27001 w październiku tego roku.

Przeczytaj również: Co to jest norma ISO 27001 i dlaczego jest tak ważna dla organizacji?

Wpływ ISO 27002:2022 na certyfikację na zgodność z ISO 27001

Aktualizacja ISO 27002, w zależności od tego, czy organizacje mają wdrożony certyfikat ISO 27001, czy nie, będzie w różny sposób na nie wpływała. Jeśli organizacja:

  • posiada certyfikat na zgodność z ISO 27001, nie musi podejmować żadnych działań (nowa norma ISO 27002 będzie obowiązywać dopiero po odnowieniu certyfikacji),
  • jest w trakcie certyfikacji lub zamierza dokonać recertyfikacji na zgodność z ISO 27001 zalecamy, aby dokonała przeglądu zaktualizowanej normy ISO 27002 pod kątem zmian w jej wdrażaniu,
  • zamierza dopiero wdrożyć SZBI i poddać go certyfikacji na zgodność z ISO 27001, powinna działać z uwzględnieniem nowej wersji ISO 27002.

Zespół specjalistów Resilia może pomóc Twojej firmie

  • Dostosujemy Twoją organizację do nowej wersji normy ISO 27002, dokonując przeglądu SZBI pod względem zmian wprowadzonych w aktualnej wersji standardu.

  • Pomożemy Twojej organizacji uzyskać certyfikację na zgodność z normą ISO 27001, wdrążając od początku SZBI uwzględniający nową wersję ISO 27002.

Masz pytania? Napisz do nas poprzez formularz kontaktowy na dole strony lub wyślij e-mail na adres [email protected].

Podobne wpisy
Outsourcing cyberbezpieczeństwa – czy warto z niego korzystać?
calendar 20 marca 2023
clock 4m 32s

Według ekspertów na Polskim rynku brakuje nawet 17,5 tys. specjalistów ds. cyberbezpieczeństwa. Wzmożone zapotrzebowanie wzmaga postęp cyfryzacji, wzrost ataków hakerskich oraz ciągle zmieniający […]
Polski rynek cyberbezpieczeństwa. Szanse i wyzwania – raport
calendar 5 stycznia 2021
clock 2m 7s

Jak wygląda rynek cyberbezpieczeństwa w Polsce? Jakiego typu firmy na nim działają? Z jakimi problemami zmagają się na co dzień? Odpowiedzi znajdziecie w raporcie „Polski rynek […]
Cyberbezpieczeństwo – studia przyszłości? Tak, o ile wyborem jest uczelnia z holistycznym podejściem
calendar 11 października 2021
clock 8m 53s

Świat biznesu w ostatnich latach zmienił się tak bardzo, że prawie każda firma jest obecna online. Przez to każdego dnia do sieci trafia wiele danych osobowych […]

NIS2 podmioty objęte przepisami

SPRAWDŹ I UNIKNIJ KAR FINANSOWYCH

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
telefon
+48 22 243 39 37
e-mail
[email protected]


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Polityka prywatności
    Regulaminu świadczenia usług
    © Resilia Sp. z o.o. Wszelkie prawa zastrzeżone
    Projekt i realizacja Eager Dots
    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!