ISO/IEC 27001 v novém kabátě
V říjnu roku 2022 byla zveřejněna nová verze ISO/IEC 27001 – vedoucí světový standard pro řízení bezpečnosti informací. I když tato revize neobsahuje žádné zásadní změny, reaguje na nové hrozby a sjednocuje textaci normy vůči dalším normám pro systémy managementu, a je tedy důležité se s ní seznámit. V následujícím textu se zaměříme se na to, jak se nová verze z roku 2022 liší od té předchozí z roku 2013.
VZTAH ISO/IEC 27001 A ISO/IEC 27002
ISO/IEC 27001 a ISO/IEC 27002 jsou dva vzájemně provázané standardy, které se týkají řízení bezpečnosti informací v organizacích.
ISO/IEC 27001 je mezinárodní standard, který stanovuje požadavky na systémové řízení bezpečnosti informací a poskytuje rámec pro hodnocení a certifikaci úrovně řízení bezpečnosti informací v organizaci.
ISO/IEC 27002 je doporučení k implementaci bezpečnostních opatření, které organizace mohou použít k zajištění úrovně bezpečnosti informací odpovídající jejich potřebám. Tento standard obsahuje seznam bezpečnostních kontrol a doporučení pro ochranu informací, které lze použít jako základ pro vytvoření a implementaci vlastních bezpečnostních opatření.
ISO/IEC 27002 tedy slouží jako praktický průvodce pro ty, kdo chtějí implementovat bezpečnostní opatření, aby splnili požadavky stanovené v normě ISO/IEC 27001 a získali certifikaci podle tohoto standardu.
V důsledku toho jsou oba standardy neodmyslitelně propojeny a společně tvoří kompletní rámec pro řízení bezpečnosti informací v organizacích.
ZMĚNY V ISO/IEC 27001:2022
Změny v nové revizi ISO/IEC 27001 z roku 2022 v porovnání s předchozí revizí jsou spíše menšího až středního rozsahu. Hlavní část standardu obsahuje 10 článků a v této části jde pouze o drobné změny.
Ustanovení povinná pro systémy managementu bezpečnosti informací, konkrétně články 4 až 10, byla mírně upravena, zejména s ohledem na shodu s normami ISO 9001, ISO 14001 a dalšími normami pro řízení ISO a také s ohledem na přílohu SL.
STRUČNÝ PŘEHLED ZMĚN V ISO 27001:2022:
• V článku 4.2 (Porozumění potřebám a očekáváním zainteresovaných stran) byl přidán nový prvek pro analýzu požadavků zainteresovaných stran, které musí být zahrnuty do ISMS.
• V článku 4.4 (Systém řízení bezpečnosti informací) byla přidána fráze vyžadující plánování procesů a jejich interakcí jako součást ISMS.
• V článku 5.3 (Organizační role, odpovědnosti a pravomoci) byla přidána fráze, která objasňuje, že komunikace rolí se provádí interně v rámci organizace.
• Článek 6.2 (Cíle informační bezpečnosti a plánování k jejich dosažení) nyní vyžaduje monitorování cílů informační bezpečnosti.
• Byl přidán článek 6.3 (Plánování změn), který vyžaduje, aby jakákoli změna v ISMS byla provedena plánovaným způsobem.
• V článku 7.4 (Komunikace) byl vypuštěn požadavek na nastavení komunikačních procesů.
• V článku 8.1 (Provozní plánování a kontrola) byly přidány nové požadavky na stanovení kritérií pro bezpečnostní procesy a pro implementaci procesů podle těchto kritérií. V témže ustanovení byl vypuštěn požadavek na provádění plánů pro dosažení cílů.
• Do ustanovení článku 9.3 (Přezkoumání vedením podniku) byl přidán nový bod, který upřesňuje, že vstupy od zúčastněných stran musí být relevantní pro ISMS.
V článku 10 (Zlepšení) změnily pododstavce místa, takže první je Neustálé zlepšování (10.1) a druhé je Neshoda a nápravná opatření (10.2), ale obsah těchto ustanovení se nezměnil.
ZMĚNY V PŘÍLOZE A
Zdánlivě nejvýraznější změnou je snížení počtu opatření v příloze A ze 114 na 93. Dále je organizace kontrol rozepsána do čtyř oddílů oproti původním 14 sekcím. Jde tedy pouze o mírné změny.
- Většina opatření (celkem 35) zůstala beze změny.
- 23 opatření bylo pouze přejmenováno
- dalších 57 opatření bylo sloučeno do jednoho, ale požadavky zůstaly v podstatě stejné, pouze se rozšiřují činnosti.
- Jedno opatření bylo rozděleno na dvě samostatné části, ale požadavky zůstaly beze změny.
- K dispozici je 11 nových opatření, která reagují na nové trendy v IT a bezpečnosti informací.
ZŘEJMĚ NÁS ČEKÁ MNOHO PRÁCE…
Bude těžké přejít na novou normu ISO/IEC 27001:2022? Nebude.
Jednoduše řečeno, změny v hlavní části normy jsou pouze malé a lze je provést rychle a s minimálními úpravami dokumentace a procesů. Opatření v příloze A jsou mírně změněna a nová opatření je vhodné při aktualizaci analýzy rizik posoudit a zvážit, zda je do stávající dokumentace aplikovat, nebo je vyloučit.
Společnosti, které jsou již certifikované podle ISO/IEC 27001:2013, zásadní změny nečekají, nová norma ISO/IEC 27001:2022 vyžaduje pouze drobné korekce.
PŘECHODNÉ OBDOBÍ
Společnosti, které již získaly certifikaci podle ISO/IEC 27001:2013, musí dokončit přechod na ISO/IEC 27001:2022 do 31. října 2025. Detailnější podmínky přechodného období uvádí předpis IAF MD26, jedná se především o kratší doby pro certifikační a recertifikační audity.
Zdroj zprávy: TÜV SÜD CZECH