Вашата оценка 0 от 0 гласа

Нова версия на ISO/IEC 27002

На 15.02.2022 г. международната организация ISO публикува новата версия на ISO/IEC 27002:2022 "Information security, cybersecurity and privacy protection — Information security controls".

Стандартът за управление на информационната сигурност ISO/IEC 27001 "Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания" и неговият Кодекс за добра практика (ISO 27002) са последно актуализирани преди почти 10 години. През 2022г. се очаква и ревизирана версия на ISO/IEC 27001.

Какво се променя в ISO/IEC 27002?

Първото, което веднага се забелязва, е промяната в заглавието – „Кодекс за добра практика“ е заменено с "Контроли на информационната сигурност", което по-добре отразява целта на стандарта – да предостави указания за прилагането на референтен набор от контроли за информационна сигурност. Стандартът е значително по-дълъг от предишната версия, а самите контроли са прегрупирани и актуализирани. Промените целят опростяване на внедряването: броят на контролите е намален от 114 на 93 (чрез обединяване), разпределени са в 4 групи, вместо в предишните 14. Има 11 нови контроли, като нито една от досегашните не е премахната.

Новият ISO/IEC 27002:2022 има 93 контроли, разпределени в 4 групи, както и две приложения:

Организационни (клауза 5);
Свързани с човешките ресурси (клауза 6);
Свързани с физическата сигурност (клауза 7);
Технологични контроли (клауза 8);
Приложение A – Използване на атрибути;
Приложение B – Съответствие с ISO/IEC 27002:2013.

Новите контроли са:

Разузнаване за заплахи;
Информационна сигурност при използване на облачни услуги;
ICT готовност за непрекъснатост на бизнеса;
Мониторинг на физическата сигурност;
Управление на конфигурацията;
Изтриване на информация;
Маскиране на данни;
Предотвратяване на изтичане на данни;
Дейности по наблюдение;
Уеб филтриране;
Сигурно писане на код.

Контролите вече имат пет типа „атрибут“, за да се категоризират по-лесно:

Тип контрол (превантивен, разпознаващ, коригиращ);
Свойства на информационната сигурност (поверителност, цялост, наличност);
Концепции за киберсигурност (идентифициране, защита, откриване, реагиране, възстановяване);
Оперативни възможности (ръководни дейности, управление на активи и др.);
Домейни на сигурност (управление и екосистема, защита, отбрана, устойчивост).

Как ще се отрази това на организациите, прилагащи ISO/IEC 27001?
Като част от процеса на управление на риска, ISO/IEC 27001:2013 ви позволява да избирате контроли, стига да ги сравнявате с приложение А и да документирате причините за вашия избор. Очаква се версията на ISO 27001 от 2022 г. да бъде до голяма степен подобна на тази от 2013 г., като ще има нова версия на приложение А, което ще отразява контролите в новия ISO 27002.
Докато новата версия на ISO 27001 не бъде публикувана, Декларацията за приложимост все още трябва да се позовава на Приложение A на ISO 27001:2013, а контролите в ISO 27002:2022 ще бъдат алтернативен набор, който ще трябва да сравните със съществуващото приложение А.

Какво означава това за организации, които вече са сертифицирани по ISO 27001:2013?
Противно на повечето очаквания, ISO няма да пусне изцяло нов ISO 27001:2022. Вместо това ще има изменение на ISO/IEC 27001:2013 (наречено ISO/IEC 27001:2013/DAMD 1), в което Приложение А ще бъде заменено с нормативна версия на 93-те нови контрола от ISO 27002:2022.
Обикновено има двегодишен преходен период за сертифицираните организации, за да преразгледат своята система за управление, така че да съответства на новата версия на стандарта. В случая обаче не е необходимо да чакате излизането на актуализирания ISO/IEC 27001:2013/DAMD 1, тъй като той ще бъде изцяло съобразен с контролните механизми, описани и групирани във вече публикувания ISO/IEC 27002:2022.

Източник: iso.org

ЕТИКЕТИ

ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27001 процедури ISO/IEC 27001 одит Система за управление на сигурността на информацията Киберсигурност

Новини

02.24

ISO и климатичните промени

Изменение 1: Действия, свързани с изменението на климата В края на миналата с...

02.24

ISO/IEC 27001:2023 на български език

Българският институт по стандартизация публикува БДС EN ISO/IEC 27001:2023 "...

Полезно

10.23

EMAS – Схема за управление по околна среда и одит

Европейската Схема за управление по околна среда и одит (Eco-management and Audi...

08.23

Стандарти за защита на автомобилната сигурност

През последните няколко години автомобилната индустрия претърпя бързи промен...

Внедряване на управленски стандарти

КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.

Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.

Виж повече

Партньори