Představujeme novou ISO 27001:2022
Protože svět čelí novým bezpečnostním výzvám, byla aktualizována mezinárodně uznávaná norma ISO/IEC 27001, jejímž cílem je chránit důvěrnost, dostupnost a integritu informačních aktiv organizací z různých oborů od služeb, přes nemocnice, banky, IT firmy až po průmyslové výrobní firmy. Nová norma ISO/IEC 27001:2022 byla zveřejněna 25. října 2022, a letos již některé certifikační orgány certifikují i provádí dozorové audity podle této nové verze. Hlavní novinkou je velká změna přílohy A, a také změna názvu: • ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection • ISO/IEC 27001:2022 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí. Další změny se týkají článků 4 až 10, zejména v článcích 4.2, 6.2, 6.3 a 8.1 byl přidán další nový obsah. Nesmíme opomenout ani drobné změny v terminologii a restrukturalizaci vět a souvětí. Název a pořadí však zůstávají stejné:
Jaké jsou hlavní změny kontroly v příloze A?
Příloha A normy ISO/IEC 27001:2022 obsahuje změny jak v počtu ovládacích prvků, tak v jejich zařazení do skupin. Název této přílohy se také změnil z Referenční kontrolní cíle a kontroly na Referenční kontroly bezpečnosti informací. Proto byly referenční cíle každé kontrolní skupiny, které byly přítomny v předchozí verzi standardu, nyní odstraněny.
Počet kontrol přílohy A se snížil ze 114 na 93. Snížení počtu kontrol bylo většinou způsobeno sloučením mnoha z nich. 35 kontrol zůstalo stejných, 23 kontrol bylo přejmenováno, 57 kontrol bylo sloučeno do 24 kontrol a jedna kontrola byla rozdělena na dvě. 93 ovládacích prvků bylo restrukturalizováno do čtyř kontrolních skupin nebo sekcí.
Nové skupiny kontrol ISO/IEC 27001:2022 jsou:
- A.5 Organizační kontroly - obsahuje 37 kontrol
- A.6 Ovládací prvky Lidé – obsahuje 8 ovládacích prvků
- A.7 Fyzické ovládací prvky – obsahuje 14 ovládacích prvků
- A.8 Technologické kontroly - obsahuje 34 kontrol
ISO/IEC 27001:2022 také přidala níže uvedených 11 nových ovládacích prvků do své přílohy A:
- Inteligence hrozeb
- Informační bezpečnost pro využívání cloudových služeb
- ICT připravenost pro kontinuitu podnikání
- Monitorování fyzické bezpečnosti
- Správa konfigurace
- Smazání informací
- Maskování dat
- Prevence úniku dat
- Monitorovací aktivity
- Filtrování webu
- Bezpečné kódování popisující změny ISO/IEC 27001 v roce 2022
ISO/IEC 27001 a ISO/IEC 27002
ISO/IEC 27001 a ISO/IEC 27002 souvisejí se systémy řízení bezpečnosti IT a bezpečnosti informací, a proto se zdají být dost podobné. Nejsou však stejné.
• ISO/IEC 27001 je norma systému řízení bezpečnosti informací, která poskytuje seznam požadavků na shodu, podle kterých mohou být organizace a odborníci certifikováni. Pomáhá organizacím zavést, implementovat, udržovat a zlepšovat systém řízení informační bezpečnosti (ISMS).
• ISO 27002 je další normou, která s normou ISO/IEC 27001 souvisí. Tato norma se používá k přizpůsobení systémů řízení bezpečnosti informací konkrétnímu kontextu organizací tím, že poskytuje pokyny pro výběr a implementace správných kontrol bezpečnosti informací uvedených v příloze A normy ISO/IEC 27001. Kromě toho norma ISO/IEC 27002 nabízí mnohem podrobnější a důkladnější informace týkající se těchto kontrol.
Vzhledem k tomu, že ISO/IEC 27002 je podpůrná norma obsahující pokyny a nikoli požadavky, organizace podle ní nemohou být certifikovány, mohou ji certifikovat pouze profesionálové.
PROŠKOLTE SE VČAS
Budete určitě potřebovat obnovit certifikát ze školení a při auditech prokázat, že jste získali informace o novinkách a změnách v nové normě ISO 27001:2022. Nepromarněte šanci proškolit se u nás a nebo vás můžeme proškolit u Vás ve firmě, v termínu který si sami vyberete.
Naše školení jsou již připravena dle nových požadavků obou norem a ukazují možnosti implementace prakticky, bez zbytečných papírů a s množstvím workshopů, kde si vše vyzkoušíte.
ŠKOLENÍ: ISO 27001:2022 - ÚVOD DO ISMS (BEZPEČNOST INFORMACÍ - NEŽ ZAČNETE)
ŠKOLENÍ ISO 27001:2022 INTERNÍ AUDITOR
ŠKOLENÍ ISO 27001:2022 A ISO 27001:2022 – POŽADAVKY A IMPLEMENTACE V PRAXI