Aktualizacja normy ISO 27002 i jej wpływ na ISO 27001. Co zmieniono w nowej wersji standardu?

clock 3m 55s

Międzynarodowa norma ISO 27002 została ostatnio poddana przeglądowi i aktualizacji. Jakie zmiany wprowadzono w normie odnoszącej się do środków kontroli bezpieczeństwa informacji? Jaki wpływ ma nowy standard ISO 27002:2022 na ISO 27001?

Wszystkie normy ISO nowelizowane są co kilka lat. Dzięki temu standardy odpowiadają zmieniającej się rzeczywistości, bieżącym warunkom i potrzebom organizacji, które z norm tych korzystają. Aktualizację normy ISO 27002 rozpoczęto w 2018 roku. Jej bieżąca wersja opublikowana została prawie 4 lata później, tj. 15 lutego 2022 roku.

Przeczytaj również: Normy ISO w firmie: czym są? Wszystko o normach ISO, wdrażaniu i certyfikacjach

ISO 27002 – definicja normy

ISO 27002 (a dokładnie ISO/IEC 27002) to norma opublikowana przez Międzynarodową Organizację Normalizacyjną. Norma zawiera wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji. Standard odnosi się bezpośrednio do normy ISO 27001 i stanowi jej merytoryczne oraz opisowe rozwinięcie.

Norma ISO 27002 - definicja

Jakie zmiany wprowadzono w normie ISO 27002?

W standardzie ISO 27002:2022 wprowadzono zmiany mające na celu głównie zaktualizowanie środków kontroli bezpieczeństwa informacji, tak aby zgodne z wymaganiami prawnymi, aktualnym poziomem wiedzy, odzwierciedlały zmiany w rozwoju technologii IT.

Pierwszą zauważalną zmianą jest tytuł normy. Wcześniejsza nazwa „Technika informatyczna – Techniki bezpieczeństwa – Kodeks postępowania dla kontroli bezpieczeństwa informacji” została zastąpiona tytułem „Bezpieczeństwo informacji, bezpieczeństwo cybernetyczne i ochrona prywatności – Kontrole bezpieczeństwa informacji”. Norma więc skupia się bardziej niż dotychczas na cyberbezpieczeństwie, ochronie prywatności oraz zarządzaniu podatnościami bezpieczeństwa.

W zaktualizowanej normie dokonano również zmian strukturalnych. Pomniejszono i przegrupowano kategorie metod kontrolnych – 14 dotychczasowych sekcji przegrupowano na 4. Obecnie mamy więc następujące obszary kontroli: organizacyjne, dotyczące ludzi, fizyczne i technologiczne. Zmniejszeniu uległa także liczba metod kontrolnych – ze 114 do 93 technik. Zmiany w technikach zabezpieczeń objęły również usunięcie 3 metod, połączenie 48 metod w 19 oraz dodanie 11 nowych.

Usunięte metody bezpieczeństwa w ISO 27002:2022

Techniki bezpieczeństwa, które usunięto w zaktualizowanym standardzie to:

  • Postępowanie z aktywami,
  • Wynoszenie aktywów,
  • Zgłaszanie słabości związanych z bezpieczeństwem informacji.

Nowe techniki zabezpieczeń w normie ISO 27002:2022

W najnowszej wersji standardu dodano następujące metody zabezpieczeń:

  • Analiza zagrożeń,
  • Bezpieczeństwo informacji przy korzystaniu z usług w chmurze,
  • Gotowość teleinformatyczna do zapewnienia ciągłości działania,
  • Monitorowanie bezpieczeństwa fizycznego,
  • Zarządzanie konfiguracją,
  • Usuwanie informacji,
  • Maskowanie danych,
  • Zapobieganie wyciekom danych,
  • Monitorowanie baz danych,
  • Filtrowanie sieci,
  • Bezpieczne kodowanie.

Sekcja atrybutów w nowej wersji normy ISO 27002

W ISO 27002:2022 wprowadzono do każdej techniki sekcję atrybutów. Pozwalają one ustandaryzować sortowanie i filtrowanie kontroli zabezpieczeń oraz umożliwiają szybkie dopasowanie wyboru kontroli do wspólnego języka branżowego i standardów. Atrybuty, o których mowa to:

  • Typy zabezpieczeń (zapobiegawcze, reaktywne lub korygujące),
  • Właściwości bezpieczeństwa informacji (poufności, integralności lub dostępności),
  • Koncepcje cyberbezpieczeństwa (identyfikacja, ochrona, wykrywanie, reagowanie lub przywracanie),
  • Możliwości operacyjne,
  • Domeny bezpieczeństwa.

Zaktualizowana norma ISO 27002 a ISO 27001

Zmiana normy ISO 27002 na nową wersję wiąże się z koniecznością aktualizacji ISO 27001 w celu utrzymania zgodności obu standardów. Ze względu na to, że znowelizowana norma jest w zasadzie rozszerzeniem załącznika A normy ISO 27001, to należy się spodziewać, że wkrótce i on zostanie zaktualizowany. Nieoficjalnie mówi się o wydaniu znormalizowanej wersji ISO 27001 w październiku tego roku.

Przeczytaj również: Co to jest norma ISO 27001 i dlaczego jest tak ważna dla organizacji?

Wpływ ISO 27002:2022 na certyfikację na zgodność z ISO 27001

Aktualizacja ISO 27002, w zależności od tego, czy organizacje mają wdrożony certyfikat ISO 27001, czy nie, będzie w różny sposób na nie wpływała. Jeśli organizacja:

  • posiada certyfikat na zgodność z ISO 27001, nie musi podejmować żadnych działań (nowa norma ISO 27002 będzie obowiązywać dopiero po odnowieniu certyfikacji),
  • jest w trakcie certyfikacji lub zamierza dokonać recertyfikacji na zgodność z ISO 27001 zalecamy, aby dokonała przeglądu zaktualizowanej normy ISO 27002 pod kątem zmian w jej wdrażaniu,
  • zamierza dopiero wdrożyć SZBI i poddać go certyfikacji na zgodność z ISO 27001, powinna działać z uwzględnieniem nowej wersji ISO 27002.

Zespół specjalistów Resilia może pomóc Twojej firmie

  • Dostosujemy Twoją organizację do nowej wersji normy ISO 27002, dokonując przeglądu SZBI pod względem zmian wprowadzonych w aktualnej wersji standardu.

  • Pomożemy Twojej organizacji uzyskać certyfikację na zgodność z normą ISO 27001, wdrążając od początku SZBI uwzględniający nową wersję ISO 27002.


Masz pytania? Napisz do nas poprzez formularz kontaktowy na dole strony lub wyślij e-mail na adres kontakt@resilia.pl.

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, adresu e-mail, nr telefonu przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:



Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
    nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
    prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
    tym przesyłania informacji handlowych, w formie:



    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
    otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
    momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
    o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
    kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
    o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
    webinar oraz usługą newsletter w Polityce prywatności.