Norma ISO/IEC 27001:2022 (Information security , cybersecurity and privacy protection . Information security management systems . Requirements) specifikuje požadavky na stanovení, implementaci, udržování a trvalé zlepšování systému managementu informační bezpečnosti v kontextu organizace
Po vydání normy ISO/IEC 27002:2022 v únoru vydala Mezinárodní organizace pro normalizaci v říjnu novou normu ISO/IEC 27001:2022 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí. Systémy managementu informační bezpečnosti. Požadavky
Vzhledem k všudypřítomnosti hackerů je implementace silného systému informační bezpečnosti, který splňuje požadavky normy ISO/IEC 27001:2022, nedílnou součástí ochrany soukromí údajů organizace. V této souvislosti je třeba si uvědomit několik statistických údajů z posledního období:
- každých 39 vteřin dojde na celém světě k jednomu hackerskému útoku
- 64 % společností na celém světě zažilo v loňském roce nějakou formu kybernetického útoku
- denně je napadeno 30 000 webových stránek
- e-mail je zodpovědný za 94 % veškerého škodlivého softwaru
- celosvětové roční náklady na počítačovou kriminalitu se odhadují na 6 bilionů dolarů ročně
Co je ISO/IEC 27001:2022?
Norma ISO/IEC 27001:2022 poskytuje požadavky na zřízení, implementaci, udržování a zlepšování systému řízení informační bezpečnosti (ISMS) v rámci organizace. ISMS se vztahuje na praxi ochrany před neoprávněným použitím informací, zejména elektronických údajů.
Norma ISO/IEC 27001 obsahuje i požadavky na posouzení a ošetření rizik informační bezpečnosti přizpůsobených potřebám organizace. Požadavky vymezené v normě ISO/IEC 27001:2023 jsou obecné a jsou určeny pro všechny organizace bez ohledu na typ, velikost nebo povahu organizace. Nesplnění některého z požadavků vyjmenovaných v kapitolách 4 až 10 není přijatelné, pokud organizace deklaruje dosažení shody s tímto dokumentem.
Jaké jsou změny v ISO/IEC 27001:2022 ve srovnání s ISO/IEC 27001:2013?
ISO/IEC 27001:2022 reviduje druhé vydání téže mezinárodní normy, která byla publikována v roce 2013. Její text byl změněn tak, aby byl v souladu s harmonizovanou strukturou norem systému managementu vydávaných organizací ISO.
ISO (ten International Organizace pro standardizace) a IEC (ten International Elektrotechnická komise) tvoří specializovaný systém pro celosvětovou normalizaci. Národní orgány, které jsou členy ISO nebo IEC, se účastní vývoje mezinárodních norem prostřednictvím technických komisí zřízených příslušnou organizací k řešení konkrétních oblastí technické činnosti.
Normu ISO/IEC 27001:2022 připravila Společná technická komise ISO/IEC JTC 1, Informační technologie , Subkomise SC 27, Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí .
Toto třetí vydání ruší a nahrazuje druhé vydání (ISO/IEC 27001:2013), které bylo technicky revidováno. to také zahrnuje na Technická Corrigenda ISO/IEC 27001:2013/ Cor 1:2014 a ISO/IEC 27001:2013/ Cor 2:2015.
Změny v základních požadavcích ISO/IEC 27001:2022 – články 4 až 10
Celkově zůstává záměr normy stejný, přičemž základní základní aspekty řízení rizik zůstávají nezměněny. Na základě přístupu založeného na riziku norma chrání důvěrnost, integritu a dostupnost informačních aktiv.
Základní požadavky obecně zůstávají stejné, s mírnými doplňky a vylepšeními frází.
- V článku4.2 (Pochopení potřeb a očekávání zúčastněných stran)
nyní zahrnuje identifikaci požadavků zúčastněných stran , které budou řešeny prostřednictvím ISMS. - V článku 4.4 (Systém řízení bezpečnosti informací)
byla přidána nová fráze, která vyžaduje plánování procesů a jejich interakcí jako součást ISMS. - V článku 5.3 (Organizační role, odpovědnosti a pravomoci)
byla přidána nová fráze, která vysvětluje, že komunikace rolí se uskutečňuje interně v rámci organizace. - Článek 6.2 (Cíle informační bezpečnosti a plánování k jejich dosažení)
nyní zahrnuje schopnost monitorování cílů informační bezpečnosti. - (NOVINKA) Článek 6.3 (Plánování změn)
obsahuje plán jakýchkoli změn v ISMS. - Článek 7.4 (Komunikace),
bod (e), byl vypuštěn, což byl požadavek na nastavení procesů pro komunikaci . - Článek 8.1 (Provozní plánování a kontrola)
nyní obsahuje stanovení kritérií pro bezpečnostní procesy a implementační proces . Požadavek na realizaci plánů pro dosažení cílů byl vypuštěn. - Článek 9.3 (Přezkoumání managementem)
nyní obsahuje přezkoumání změn v potřebách a očekáváních zúčastněných stran a relevantních pro ISMS. - Článek 10 (Zlepšení),
text doložek zůstal nezměněn . Články změnily své místo, přičemž prvním je Neustálé zlepšování (10.1) a druhým jsou neshody a nápravná opatření (10.2).
ISO/IEC 27001:2022 Příloha A ( Annex A )
Příloha A ISO/IEC 27001:2022 zaznamenala největší změnu. Aktualizovaná verze přílohy A ISO/IEC 27001:2022 byla kompletně předělána a revidována. V důsledku toho se počet kontrol v nové verzi ISO/IEC 27001:2022 snížil ze 114 na 93. Kromě toho jsou nyní tyto bezpečnostní kontroly rozděleny do čtyř sekcí namísto předchozích 14.
Kromě toho tato změna představuje hmatatelný pokus učinit normu ISO/IEC 27001:2022 stručnější a jednodušší k implementaci. Přesahy a opakování byly odstraněny, aby se vytvořilo pět hlavních bezpečnostních atributů, které usnadňují jejich seskupování.
Změny v příloze A odrážejí změny provedené v nové normě ISO 27002:2022 zveřejněné v únoru 2022, která je doplňkovou normou pro provádění normy ISO 27001.
Revidované z „referenčních kontrolních cílů a kontrol“ na „referenční kontroly informační bezpečnosti“ došlo k významným změnám a aktualizacím přílohy A. Mezi klíčové změny patří následující:
- Ovládací prvky jsou přeskupeny do čtyř oblastí – Organizační, Lidé, Fyzikální a Technologické namísto předchozích 14.
- Část 5: Organizační (37 ovládacích prvků)
- Část 6: Lidé (8 ovládacích prvků)
- Část 7: Fyzické (14 ovládacích prvků)
- Část 8: Technologické (34 ovládacích prvků)
- Celkový počet kontrol se snížil ze 114 na 93 .
Nebyly vyloučeny žádné kontroly, některé se sloučily kvůli racionalizaci a účinnosti. Proto snížení počtu ovládacích prvků.- 57 kontrol bylo sloučeno do 24 kontrol.
- 35 kontrol zůstalo stejných se změnou čísla kontroly.
- 23 ovládacích prvků bylo přejmenováno.
- Jen jedna kontrola byla rozdělena, Kontrola 18.2.3 Kontrola technické shody:
- 5.3.6 – Soulad s politikami, pravidly a standardy pro informační bezpečnost.
- 8.8 – Řízení technických zranitelností
- Byl zaveden koncept atributů.
- Typ ovládání
- Vlastnosti zabezpečení informací
- Koncepce kybernetické bezpečnosti
- Provozní schopnosti
- Bezpečnostní domény
- Přibylo 11 nových bezpečnostních kontrol.
- A.5.7 Informace o hrozbách
- A.5.23 Informační bezpečnost při využívání cloudových služeb
- A.5.30 Připravenost IKT na kontinuitu podnikání
- A.7.4 Monitorování fyzické bezpečnosti
- A.8.9 Správa konfigurace
- A.8.10 Vymazání informací
- A.8.11 Maskování údajů
- A.8.12 Zabránění úniku údajů
- A.8.16 Monitorovací činnosti
- A.8.23 Filtrování webu
- A.8.28 Bezpečné kódování
Stručně řečeno, 35 kontrol zůstalo nezměněno, 23 kontrol bylo přejmenováno, 57 kontrol bylo sloučeno do 24 kontrol a bylo přidáno 11 nových kontrol.
Proč informační bezpečnost, kybernetickú bezpečnost a ochranú soukromí dle ISO/IEC 27001:2022?
ISO/IEC 27001 je v současnosti nejuznávanějším mezinárodním standardem pro systémy řízení informační bezpečnosti.
- Pomáhá organizacím stanovit politiku a cíle řízení informační bezpečnosti a pochopit, jak lze řídit významné aspekty, implementovat potřebné kontroly a stanovit jasné cíle pro zlepšení bezpečnosti informací.
- Umožňuje organizaci řídit svou povinnost dodržovat platné právní požadavky, jako je GDPR (ve spojení s SO/IEC 27001) a pravidelně kontrolovat stav souladu. To umožňuje neustálé zlepšování systému, aby se zajistila ochrana a řešení zranitelných míst.
- Jedná se o komplexní přístup k informační bezpečnosti. Aktiva, která potřebují ochranu, sahají od digitálních informací, papírových dokumentů a fyzického majetku (počítače a sítě) až po znalosti jednotlivých zaměstnanců. Problémy, které je třeba řešit, sahají od rozvoje kompetencí zaměstnanců až po technickou ochranu proti počítačovým podvodům.
ISO/IEC 27001:2022 je navržena tak, aby byla kompatibilní a harmonizovaná s jinými uznávanými normami systému managementu. Je proto ideální pro integraci do stávajících manažerských systémů a procesů.
Pro organizace se stávající certifikací ISO/IEC 27001:2013
Nemá to žádný vliv na stávající certifikace.
Od vydání v říjnu 2022 existuje 3leté časové přechodné období (do 31. října 2025), aby organizace přešly na nové požadavky normy ISO/IEC 27001:2022. Pokud je to možné, může se to uskutečnit jako součást 3letého recertifikačního auditu, resp. při kterémkoli auditu, který se uskuteční během ročního dozorového auditu, nebo jako samostatné hodnocení.
Jak se připravit na certifikaci podle nové normy ISO/IEC 27001:2022? Kde mohu zakoupit normu ISO/IEC 27001:2022?
Aby organizace přešly na ISO/IEC 27001:2022, musí projít přechodovým auditem certifikačním orgánem, který zhodnotí, že změny byly implementovány efektivně. Úspěšný přechod vyžaduje efektivní implementaci nových požadavků ISO/IEC 27001:2022 a důkladné pochopení změn a dopadů na organizace. Jak postupovat?
- Zakupte si kopii nové normy ISO/IEC 27001:2022 a identifikujte organizační mezery, které je třeba vyřešit, abyste splnili nové požadavky ( kopii normy ISO 27001 můžete zakoupit např. zde )
- Vypracujte plán implementace požadavků ISO/IEC 27001:2022
- Proveďte posouzení nedostatků v porovnání s novým standardem, abyste dosáhli souladu s novými požadavky ISO/IEC 27001:2022 (GAP analýza)
- Aktualizujte své prohlášení o použitelnosti ( SoA ), aby bylo v souladu s aktualizovanou přílohou A ISO/IEC 27001:2022
- Zkontrolujte svůj rejstřík rizik a činností, abyste zabezpečili soulad s revidovanou normou ISO/IEC 27001:2022 a novými požadavky a kontrolami
- Proveďte nová nebo pozměněná opatření
- Poskytněte vhodná školení a informace pro všechny zúčastněné strany
- Aktualizovat stávající systém řízení informační bezpečnosti tak, aby splňoval revidované požadavky a poskytoval ověření účinnosti. Prohlédněte si a aktualizujte svou dokumentaci včetně zásad a postupů, abyste splnili aktualizaci i nové ovládací prvky platné pro váš ISMS
- Certifikáční orgán eucert s.r.o. bude průběžně zveřejňovat ve svých newslettrech odborné informace týkající se normy ISO/IEC 27001:2022.
Výhody získání certifikátu ISO/IEC 27001
Norma ISO/IEC 27001:2022 má komplexní přístup k informační bezpečnosti a ochraně majetku. ISO/IEC 27001:2022 vám pomůže chránit vaše informace ve smyslu následujících zásad:
- Důvěrnost zajišťuje, že informace jsou přístupné pouze těm, kteří mají oprávnění k přístupu;
- Integrita zajišťuje přesnost a úplnost informací a metod zpracování;
- Dostupnost zajišťuje, že autorizovaní uživatelé mají v případě potřeby přístup k informacím a souvisejícím aktivům;
- Technická ochrana proti počítačovým podvodům.
V případě jakýchkoli otázek týkajících se certifikace dle normy ISO/IEC 27001 nás prosím kontaktujte mailem na eucert@eucert.cz nebo se s námi spojte přímo telefonicky nebo přes úvodní formulář se žádostí o expresní nabídku na certifikaci systému dle vybrané ISO normy.